iptables REJECT

So wird SSLv3 deaktiviert: Apache, Nginx, Postfix, Dovecot, Chrome, Firefox & IE

Seitdem vergangenen Wochenende ist nun öffentlich bekannt geworden, dass SSLv3 eine Lücke hat und es dafür keinen Patch mehr geben wird. Daher ist man besser beraten, wenn man SSLv3 (ca. 18 Jahr alt) deaktiviert und auf TLS (ca. 15 Jahre alt) setzt. Jetzt gilt es sich vor einem möglichen POODLE-Angriff zu schützen. Ein paar Tweets zum Thema SSL/TLS hatte ich gestern auch schon gepostet. Nun sind aber einige Mails und DMs bei mir angekommen, wo ihr wissen wollt wie man SSLv3 deaktiviert. Ich hab das für Euch mal kurz zusammengefasst und neben SSLv3 wird auch gleich SSLv2 deaktiviert:

Apache
Je nachdem wie euer Apache Webserver konfiguriert ist, muss die folgende Zeil in die „httpd.conf“ oder in die entsprechende VHOST-Datei:
# Apache bis Version 2.2.22
SSLProtocol all -SSLv2 -SSLv3
# Apache ab Version 2.2.23
SSLProtocol TLSv1 TLSv1.1 TLSv1.2

Nginx
Bei Nginx muss die folgende Zeile hinzugefügt werden:
ssl_protocols TLSv1.1 TLSv1.2 TLSv1;

Postfix
Die Konfigurationsdatei „main.cf“ von Postfix muss mit diesen Zeilen angpasst werden:
smtpd_tls_mandatory_protocols = !SSLv2 !SSLv3
smtp_tls_mandatory_protocols = !SSLv2 !SSLv3
smtp_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2 !SSLv3

Dovecot (ab Version 2.1)
Auch wenn es vielleicht ziemlich unwahrscheinlich ist das über IMAPS was kommt, hier die Zeile für Dovecot:
ssl_protocols = !SSLv2 !SSLv3

Chrome
Ja, auch im Browser lässt sich der Support für SSLv3 deaktivieren. Leider geht das bei Chrome etwas umständlich per Kommandozeilen-Option:
chrome.exe –ssl-version-min=tls1
Ich hoffe in der kommenden Version fliegt SSLv3 ganz aus dem Browser oder aber es wird einfacher gemacht es zu deaktivieren.

Firefox
Wie bei Firefox bekannt werden sämtliche Optionen im Hintergrund per Eingabe in die Adressleiste „about:config“ durchgeführt. Dort einfach TLS suchen und die Option „security.tls.version.min“ auf 1 stellen.

IE
Noch einfacher ist es im IE einzurichten. Im Internet Explorer in den „Internetoptionen“ unter „Erweitert“ die Option SSL 3.0 deaktivieren. Ob SSL 1.0 und SSL 2.0 auch noch genutzt werden sollen, müsst ihr entscheiden. Ich habe die beiden auch bei mir abgewählt und nur noch TLS 1.1 und TLS 1.2 sind aktiv.

So, jetzt solltet ihr natürlich auch noch checken ob die Zeile nachdem Neustart des Dienstes funktioniert. Sofern ihr Zugriff auf eine Linux-Konsole habt, könnt es per openssl checken:

Apache/Nginx-Webserver
openssl s_client -ssl3 -connect <DeinServerDE>:443

Postfix
openssl s_client -starttls smtp -crlf -ssl3 -connect <DeineServerDE>:25
openssl s_client -starttls smtp -crlf -ssl3 -connect <DeinServerDE>:587

Dovecot
openssl s_client -starttls imap -ssl3 -connect >DeinServerDE>:143

Sofern ihr alles richtig gemacht habt, dann sollte in der Ausgabe „sslv3 alert handshake failure“ stehn oder das SSLv3 nicht unterstützt wird.

Außerdem kann man natürlich auch diverse Webtools für die SSLv3-Überprüfung nutzen: Poodlebleed (Webserver) | POODLE Test (Browser) | SSL Server Test (Webserver)

Seit Blog-Gründung 2006 schreibe ich hier mal mehr, mal weniger in dieses Blog zu Themen die mich interessieren. Bin auch zu finden bei Twitter, Facebook, Instagram und Google+.

Leave a Reply

Next ArticleRakede - Jetzt gehst du weg