Das Thema POODLE-Attacke gegen SSL-Verbindungen ging ja schon vor einiger Zeit durch die Presse, dennoch soll diese kleine Anleitung Verwundbarkeiten aufzeigen und Lösung bieten.
Zuerst der Test auf die Verwundbarkeit.
Auf einem Linux System lässt sich das wie folgt testen:
openssl s_client -connect example.com:443 -ssl3Kommt die folgende Meldung, ist das System nicht mehr verwundbar:
routines:SSL3_READ_BYTES:sslv3 alert handshake failure
Alternativ lässt sich die allgemeine Sicherheit einer Website hier prüfen:
https://www.whynopadlock.com/index.html
oder hier:
https://www.ssllabs.com/ssltest
Grundlegend ist SSLv3 zu deaktivieren. Dies geschieht unter Apache2, indem die Datei “/etc/apache2/mods-available/ssl.conf” angepasst wird.
Dazu muss die folgende Zeile exakt abgebildet werden:
SSLProtocol All -SSLv2 -SSLv3
Abschließend sollte noch die Konfiguration getestet werden:
apachectl configtestWenn dies Problemfrei war, muss nur noch der Apache Dienst neu gestartet werden:
sudo service apache2 restartJetzt den obigen Test noch einmal abschließen und dann ist diese Lücke auch schon gestopft.
