SSLv3 est cassé
Avec l'avènement de POODLE, toutes les suites de chiffrement utilisées par SSLv3 ont été compromises et le protocole doit être considéré comme irrémédiablement rompu.
Sites Internet
Vous pouvez vérifier si votre site Web est disponible sur SSLv3 avec curl(1)
:
curl -v -3 -X HEAD https://www.example.com
L' -v
argument active la sortie détaillée, -3
force curl à utiliser SSLv3 et -X HEAD
limite la sortie sur une connexion réussie.
Si vous n'êtes pas vulnérable, vous ne devriez pas pouvoir vous connecter et votre sortie devrait ressembler à ceci:
* SSL peer handshake failed, the server most likely requires a client certificate to connect
Si vous êtes vulnérable, vous devriez voir une sortie de connexion normale, y compris la ligne:
* SSL 3.0 connection using SSL_NULL_WITH_NULL_NULL
Autres services
Ce ne sont pas seulement les sites Web qui sont disponibles via SSL. Mail, irc et LDAP sont trois exemples de services disponibles via des connexions sécurisées et sont également vulnérables à POODLE lorsqu'ils acceptent les connexions SSLv3.
Pour vous connecter à un service à l'aide de SSLv3, vous pouvez utiliser la commande:openssl(1)
s_client(1)
openssl s_client -connect imap.example.com:993 -ssl3 < /dev/null
L' -connect
argument prend un hostname:port
paramètre, l' -ssl3
argument limite les versions de protocole négociées à SSLv3 et la canalisation /dev/null
pour STDIN
mettre immédiatement fin à la connexion après l'avoir ouverte.
Si vous vous connectez avec succès, SSLv3 est activé; si vous en obtenez un, ssl handshake failure
ce n'est pas le cas.
Voir également
Il y a une excellente question et réponse sur Security SE: /security/70719/ssl3-poodle-vulnerability
curl
le-v
drapeau prend un argument; pouvez-vous confirmer ce que vous avez écrit ci-dessus? Ou si cela nécessite une version particulière decurl
, il serait utile de le savoir également.SSL .*connection using .*_WITH_.*
équivaut à un échec?Si vous souhaitez effectuer une vérification rapide, accédez à l'URL ci-dessous. Il fait un très bon travail en suivant toutes les choses SSL, y compris la vérification de POODLE.
https://www.ssllabs.com/ssltest/
la source