Как следует из вопроса: Как отключить поддержку SSL версии 3 и установить TLS версии 1 как минимальный (самый старый) протокол, поддерживаемый для защиты от POODLE.
С помощью этого теста можно протестировать браузер.
По сути, я еще не нашел решения для Safari.
Я опубликовал блог о том, как отключить SSLv3 в некоторых наиболее распространенных баузерах и серверных платформах: https://scotthelme.co.uk/sslv3-goes-to-the-dogs-poodle-kills-off-protocol/
Ниже приведены ключевые детали.
Самое простое и надежное решение для POODLE - отключить поддержку SSLv3 на вашем сервере. Это приносит с собой пару предостережений, хотя. Для веб-трафика существуют устаревшие системы, которые не могут подключаться ни к чему, кроме SSLv3. Например, системы, использующие установки IE6 и Windows XP без SP3, больше не смогут взаимодействовать с любым сайтом, который отключает SSLv3. Согласно данным, опубликованным CloudFlare, который полностью отключил SSLv3 для всей своей клиентской базы, это затронет только крошечную долю их веб-трафика, так как 98,88% пользователей Windows XP подключаются с TLSv1.0 или выше.
Чтобы отключить SSLv3 на вашем сервере Apache, вы можете настроить его следующим образом.
SSLProtocol All -SSLv2 -SSLv3
Это даст вам поддержку TLSv1.0, TLSv1.1 и TLSv1.2, но явно удалит поддержку SSLv2 и SSLv3. Проверьте конфигурацию и затем перезапустите Apache.
apachectl configtest
sudo service apache2 restart
Отключить поддержку SSLv3 в NginX также очень просто.
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
Подобно конфигурации Apache выше, вы получите поддержку TLSv1.0+ и не будете использовать SSL. Вы можете проверить конфигурацию и перезапустить.
sudo nginx -t
sudo service nginx restart
Этот требует некоторых настроек реестра и перезагрузки сервера, но все же не все так плохо. У Microsoft есть статья поддержки с необходимой информацией, но все, что вам нужно сделать, это изменить / создать значение DWORD реестра.
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL \Protocols
Внутри протоколов у вас, скорее всего, уже будет ключ SSL 2.0, поэтому при необходимости создайте SSL 3.0 вместе с ним. В соответствии с этим создайте ключ сервера, а внутри - значение DWORD с именем Enabled и значением 0. Как только это будет сделано, перезагрузите сервер, чтобы изменения вступили в силу.
Самым простым и, вероятно, наиболее широко используемым методом проверки всего, что связано с настройкой SSL, является Qualys SSL Test. Просто перейдите на сайт, введите домен сайта, который вы хотите протестировать, и нажмите «Отправить», чтобы начать тестирование.
После того, как тест закончен, вы получите хорошее резюме ваших результатов и много подробной информации далее по странице. В частности, вы хотите посмотреть в разделе «Конфигурация» поддерживаемые протоколы.
Здесь вы хотите увидеть, что у вас нет поддерживаемых протоколов SSL. Вы должны были давно отключить SSLv2.0, и теперь мы только что удалили SSLv3.0. Поддержка TLSv1.0 или выше достаточно хороша для поддержки абсолютного большинства интернет-пользователей, не подвергая никому ненужного риска.
Также возможно защитить себя от POODLE, отключив поддержку SSLv3 в вашем браузере. Это означает, что даже если сервер действительно поддерживает SSLv3, ваш браузер никогда не будет использовать его, даже при атаке с понижением версии протокола.
Пользователи Firefox могут ввести about:config в свою адресную строку, а затем security.tls.version.min в поле поиска. Это вызовет настройку, которую необходимо изменить с 0 на 1. Существующий параметр позволяет Firefox использовать SSLv3 там, где он доступен и если это необходимо. Изменяя настройки, вы заставляете Firefox использовать только TLSv1.0 или выше, который не уязвим для POODLE.
У пользователей Chrome нет возможности отключить SSLv3 в графическом интерфейсе, так как Google удалил его из-за путаницы в том, был ли SSLv3 или TLSv1 лучше, если у него более высокое числовое значение. Вместо этого вы можете добавить флаг командной строки --ssl-version-min = tls1, чтобы обеспечить использование TLS и запретить любое соединение с использованием протокола SSL. В Windows щелкните правой кнопкой мыши ярлык Chrome, нажмите «Свойства» и добавьте флаг командной строки, как показано на рисунке ниже.
Если вы используете Google Chrome на Mac, Linux, Chrome OS или Android, следуйте этим инструкциям здесь.
Исправить Internet Explorer также довольно легко. Зайдите в Настройки, Свойства обозревателя и нажмите на вкладку Дополнительно. Прокрутите вниз, пока не увидите флажок Использовать SSL 3.0 и снимите его.
Если вы хотите проверить, что изменения в вашем браузере определенно удалили поддержку SSLv3.0, есть несколько сайтов, которые вы можете использовать. Если вы посетите https://zmap.io/sslv3/ с включенным SSLv3 в вашем браузере, вы увидите предупреждение, которое я получаю здесь, в Chrome, где я еще не отключил SSLv3. Чтобы проверить, что сайт работает должным образом, я отключил поддержку SSLv3 в Internet Explorer и тоже открыл сайт. Здесь вы можете увидеть разницу.
Вы также можете попробовать https://www.poodletest.com/ вместе с Zmap.
Opera 12.16 (Linux & Windows)
Enable SSL v3Нажмите Сохранить и перезапустите Opera
В самое ближайшее время ожидается, что во всех основных браузерах по умолчанию не будет включена поддержка SSL3. До тех пор пользователям рекомендуется принимать меры в зависимости от браузеров, которые они используют.
Fire Fox
Зайдите в about:config (введите его в строке URL) и найдите security.tls.version.min . Найдите файл security.tls.version.min и установите для него значение 1 .
Кроме того, вы можете использовать эту форму дополнения Mozilla, которая делает то же самое (перезапуск не требуется)
Хром
Запустите его с добавленным аргументом --ssl-version-min=tls1
Пользователи MAC OS могут сделать это с терминала через
open /Applications /Google\ Chrome.app --args --ssl-version-min = tls1
опера
Смотрите ответ frogstarr78
Сафари
Из комментария @ itscooper:
Обновление безопасности Apple 2014-005 адресовано POODLE, но не полностью отключает SSL3 с CBC. Он «[отключает] наборы шифров CBC при неудачной попытке подключения TLS». По сути, если злоумышленник попытается понизить соединение с TLS до SSL 3, который, как ожидается, будет преобладающим вектором атаки, уязвимые шифры будут отключены. Браузерные тесты не могут действительно проверить это.
Internet Explorer
