У жовтні інженери Google опублікували інформацію про критичну уразливість в SSL версії 3.0, Що отримала забавну назву Пудель (Padding Oracle On Downgraded Legacy Encryption або пудель 🙂). Уразливість дозволяє зловмисникові отримати доступ до інформації, зашифрованою протоколом SSLv3 за допомогою атаки «man in the middle». Уразливості схильні як сервери, так і клієнти, які можуть з’єднуватися по протоколу SSLv3.

В общем-то ситуація не дивна, тому що протоколу SSL 3.0, Вперше представленого ще в 1996 році, вже виповнилося 18 років і морально він вже застарів. У більшості практичних завдань його вже замінив криптографічний протокол TLS (Версій 1.0, 1.1 і 1.2).

Для захисту від вразливості POODLE рекомендується повністю відключити підтримку SSLv3 як на стороні клієнта, так і на стороні сервера і в подальшому використовувати тільки TLS. Для користувачів застарілого ПЗ (наприклад, використовують IIS 6 на Windows XP) це означає, що вони більш не зможуть переглядати HTTPS сторінки і використовувати інші SSL-сервіси. У тому випадку, якщо підтримка SSLv3 не відключили повністю, а за замовчуванням пропонується використовується більш сильне шифрування, вразливість POODLE все одно матиме місце. Пов’язано це з особливостями вибору і узгодження протоколу шифрування між клієнтом і сервером, тому що при виявленні несправностей у використанні TLS, відбувається автоматичний перехід на SSL.

Рекомендуємо перевірити всі свої сервіси, які можуть використовувати SSL / TLS в будь-якому вигляді і відключити підтримку SSLv3. Перевірити свій веб-сервер на наявність уразливості можна за допомогою онлайн тесту, наприклад, тут: http://poodlebleed.com/.

Примітка. Потрібно чітко розуміти, що відключення SSL v3 на рівні всієї системи буде працювати тільки для ПО, яке використовує системні API для SSL-шифрування (Internet Explorer, IIS, WebDav, SQL NLA, RRAS, Direct Access і ін.). Програми, які використовують власні крипто кошти (Firefox, Opera і т.д.) потрібно оновити і налаштувати індивідуально.

Відключаємо SSLv3 в Windows на рівні системи

В ОС Windows управління підтримкою протоколів SSL / TLS здійснюється через реєстр.

Порада. Перед виконанням зазначених змін рекомендуємо створити резервну копію зазначеної гілки за допомогою функції редактора реєстру експорт.

У цьому прикладі ми покажемо, як повністю на рівні системи (як на рівні клієнта, так і сервера) відключити SSLv3 в Windows Server 2012 R2:

  1. Відкрийте редактор реєстру (regedit.exe) з правами адміністратора
  2. Перейдіть в гілку HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control SecurityProviders Schannel Protocols Налаштування протоколів шифрування через реєстру Windows Server 2012 R2
  3. Створіть новий розділ з ім’ям SSL 3,0 ( Новий -> Ключ)Розділ з настройками SSL v3
  4. У створеному розділі SSL 3.0 створіть ще два підрозділи з іменами Клієнт і Сервер.
  5. Потім в розділі Client створіть новий параметр типу DWORD (32-bit) з ім’ям DisabledByDefault
  6. Як значення ключа DisabledByDefault Я вкажу 1.Відключити SSL 3 в Windows
  7. Потім в гілці Server створіть новий параметр типу DWORD (32-bit) з ім’ям Увімкнено і значенням 0. Відключити SSL версії 3 на рівні сервера
  8. Для вступу змін в силу необхідно перезавантажити сервер

Відключаємо SSLv2 (Windows 2008 / Server і нижче)

В ОС, що передують Windows 7 / Windows Server 2008 R2 за замовчуванням використовується ще менш безпечний і застарілий протокол SSL v2, Який також слід відключити з міркувань безпеки (в більш свіжих версіях Windows, SSLv2 на рівні клієнта відключений за замовчуванням і використовується тільки SSLv3 і TLS1.0). Для відключення SSLv2 потрібно повторити описану вище процедуру, тільки для розділу реєстру SSL 2.0.

SSL v2 відключаємо в старих версіях Windows

У Windows 2008/2012 SSLv2 на рівні клієнта відключений за замовчуванням.

Включаємо TLS 1.1 і TLS 1.2 в Windows Server 2008 R2 і вище

Windows Server 2008 R2 / Windows 7 і вище підтримують алгоритми шифрування TLS 1.1 і TLS 1.2, але по-замовчуванню ці протоколи відключені. Включити підтримку TLS 1.1 і TLS 1.2 в цих версіях Windows можна за схожим сценарієм

  1. У редакторі реєстру відкрийте гілку HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control SecurityProviders SCHANNEL Protocols
  2. Створіть два розділи TLS 1.1 і TLS 1.2
  3. Усередині кожного розділу створіть по підрозділу з іменами Клієнт і Сервер
  4. У кожному з розділів Client і Server створіть по ключу типу DWORD:
    • DisabledByDefault зі значенням 0
    • Увімкнено зі значенням 1
  5. Після внесених змін сервер слід перезавантажити.Включити TLS 1.1 і TLS 1.2 в Windows 2012 R2

Утиліта для управління системними криптографічними протоколами в Windows Server

Існує безкоштовна утиліта IIS Crypto, Що дозволяє зручно управляти параметрами криптографічних протоколів в Windows Server 2003, 2008 і 2012. За допомогою даної утиліти включити або відключити будь-який з протоколів шифрування можна всього в два кліка.

IIS Crypto - утиліта для управління протоколами шифрування в Windows

У програмі вже є кілька шаблонів, що дозволяють швидко застосувати налаштування для різних варіантів налаштувань безпеки.

Leave a Reply

Your email address will not be published. Required fields are marked *