Я опубликовал блог о том, как отключить SSLv3 в некоторых наиболее распространенных баузерах и серверных платформах: https://scotthelme.co.uk/sslv3-goes-to-the-dogs-poodle-kills-off-protocol/
Ниже приведены ключевые детали.
Как защитить свой сервер
Самое простое и надежное решение для POODLE - отключить поддержку SSLv3 на вашем сервере. Это приносит с собой пару предостережений, хотя. Для веб-трафика существуют устаревшие системы, которые не могут подключаться ни к чему, кроме SSLv3. Например, системы, использующие установки IE6 и Windows XP без SP3, больше не смогут взаимодействовать с любым сайтом, который отключает SSLv3. Согласно данным, опубликованным CloudFlare, который полностью отключил SSLv3 для всей своей клиентской базы, это затронет только крошечную долю их веб-трафика, так как 98,88% пользователей Windows XP подключаются с TLSv1.0 или выше.
апаш
Чтобы отключить SSLv3 на вашем сервере Apache, вы можете настроить его следующим образом.
SSLProtocol All -SSLv2 -SSLv3
Это даст вам поддержку TLSv1.0, TLSv1.1 и TLSv1.2, но явно удалит поддержку SSLv2 и SSLv3. Проверьте конфигурацию и затем перезапустите Apache.
apachectl configtest
sudo service apache2 restart
Nginx
Отключить поддержку SSLv3 в NginX также очень просто.
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
Подобно конфигурации Apache выше, вы получите поддержку TLSv1.0+ и не будете использовать SSL. Вы можете проверить конфигурацию и перезапустить.
sudo nginx -t
sudo service nginx restart
IIS
Этот требует некоторых настроек реестра и перезагрузки сервера, но все же не все так плохо. У Microsoft есть статья поддержки с необходимой информацией, но все, что вам нужно сделать, это изменить / создать значение DWORD реестра.
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL \Protocols
Внутри протоколов у вас, скорее всего, уже будет ключ SSL 2.0, поэтому при необходимости создайте SSL 3.0 вместе с ним. В соответствии с этим создайте ключ сервера, а внутри - значение DWORD с именем Enabled и значением 0. Как только это будет сделано, перезагрузите сервер, чтобы изменения вступили в силу.
![Настройки IIS](https://i.stack.imgur.com/h0rcV.png)
Как проверить свой сервер
Самым простым и, вероятно, наиболее широко используемым методом проверки всего, что связано с настройкой SSL, является Qualys SSL Test. Просто перейдите на сайт, введите домен сайта, который вы хотите протестировать, и нажмите «Отправить», чтобы начать тестирование.
После того, как тест закончен, вы получите хорошее резюме ваших результатов и много подробной информации далее по странице. В частности, вы хотите посмотреть в разделе «Конфигурация» поддерживаемые протоколы.
![Проверьте протоколы](https://i.stack.imgur.com/kp4iU.png)
Здесь вы хотите увидеть, что у вас нет поддерживаемых протоколов SSL. Вы должны были давно отключить SSLv2.0, и теперь мы только что удалили SSLv3.0. Поддержка TLSv1.0 или выше достаточно хороша для поддержки абсолютного большинства интернет-пользователей, не подвергая никому ненужного риска.
Как защитить свой браузер
Также возможно защитить себя от POODLE, отключив поддержку SSLv3 в вашем браузере. Это означает, что даже если сервер действительно поддерживает SSLv3, ваш браузер никогда не будет использовать его, даже при атаке с понижением версии протокола.
Fire Fox
Пользователи Firefox могут ввести about:config в свою адресную строку, а затем security.tls.version.min в поле поиска. Это вызовет настройку, которую необходимо изменить с 0 на 1. Существующий параметр позволяет Firefox использовать SSLv3 там, где он доступен и если это необходимо. Изменяя настройки, вы заставляете Firefox использовать только TLSv1.0 или выше, который не уязвим для POODLE.
Хром
У пользователей Chrome нет возможности отключить SSLv3 в графическом интерфейсе, так как Google удалил его из-за путаницы в том, был ли SSLv3 или TLSv1 лучше, если у него более высокое числовое значение. Вместо этого вы можете добавить флаг командной строки --ssl-version-min = tls1, чтобы обеспечить использование TLS и запретить любое соединение с использованием протокола SSL. В Windows щелкните правой кнопкой мыши ярлык Chrome, нажмите «Свойства» и добавьте флаг командной строки, как показано на рисунке ниже.
![Настройки Chrome](https://i.stack.imgur.com/8W1f5.png)
Если вы используете Google Chrome на Mac, Linux, Chrome OS или Android, следуйте этим инструкциям здесь.
Internet Explorer
Исправить Internet Explorer также довольно легко. Зайдите в Настройки, Свойства обозревателя и нажмите на вкладку Дополнительно. Прокрутите вниз, пока не увидите флажок Использовать SSL 3.0 и снимите его.
![Настройки IE](https://i.stack.imgur.com/OgVaK.png)
Как проверить свой браузер
Если вы хотите проверить, что изменения в вашем браузере определенно удалили поддержку SSLv3.0, есть несколько сайтов, которые вы можете использовать. Если вы посетите https://zmap.io/sslv3/ с включенным SSLv3 в вашем браузере, вы увидите предупреждение, которое я получаю здесь, в Chrome, где я еще не отключил SSLv3. Чтобы проверить, что сайт работает должным образом, я отключил поддержку SSLv3 в Internet Explorer и тоже открыл сайт. Здесь вы можете увидеть разницу.
![Chrome и IE тест](https://i.stack.imgur.com/ZpNk0.png)
Вы также можете попробовать https://www.poodletest.com/ вместе с Zmap.