問題タブ [poodle-attack]

SSLv3 は POODLE 攻撃に対して脆弱であることがわかっています。

クラスを使用Windows.Web.Http.HttpClientしてサーバーと通信しており、クライアント要求からセキュリティ プロトコル SSLv3 を無効にしたいと考えていました。

WinRT (Windows ストア アプリ) で SSLv3 の代わりに Tls12 を使用するにはどうすればよいですか?

.Net Framework 4.5 でセキュリティ プロトコル バージョンを設定する方法を知っています。以下で定義します。

WinRT/Windows ストア アプリでセキュリティ プロトコルを構成するために提供される API はありますか?

openssl-0.9.8e-22.el5_11 で centos 5.7 を実行していますが、プードルの脆弱性の影響を受けています。これに対処するために、openssl のバージョンを openssl-0.9.8e-31.el5_11 にアップグレードしました。

変更ログを使用して、上記のバージョンで poodle の脆弱性が修正されていることを確認しました。

しかし、それでも私のシステムは以下のテストに従って SSLv3 を使用しています。

Nmap done: 1.28 秒でスキャンされた 1 つの IP アドレス (1 つのホストが稼働中)

ここで少し混乱しています。プードルの脆弱性がopenssl-0.9.8e-31.el5_11で修正されているかどうか。

これに関するヘルプは非常に高く評価されます。

C# PayTrace ゲートウェイに問題があります。以下のコードは、Poodle Exploit のために SSL3 をオフにしたと思われる昨日まで正常に動作していました。以下のコードを実行すると、次のメッセージが表示されました。リモート サーバーが強制的に接続を閉じました。この問題について調査を行った結果、IIS Server 7.5 は引き続き SSL3 を使用するように構成されているため、C# はデフォルトで SSL3 になり、PayTrace が強制的に接続を切断することが判明しました。次に、サーバーから SSL3 を削除しました。これにより、次のエラーが発生します。

クライアントとサーバーは共通のアルゴリズムを持っていないため、通信できません。

私の推測では、SSL 3 が削除されたので、サーバーに追加の SSL アルゴリズムをインストールする必要があると思います。私たちの IT スタッフは、TLS 1.1 と TLS 1.2 は機能しており、ASP.NET は現在それらにデフォルト設定されているはずだと主張しています。しかし、サーバーにインストールする必要があるものが他にあるに違いないと感じています.SSLアルゴリズムの知識がないため、どこから始めればよいかわかりません.

また、参考までに、この問題は First Data E4 ゲートウェイに接続するときにも発生するため、PayTrace だけの問題ではありません。私の推測では、より多くのゲートウェイが SSL3 へのアクセスをオフにしているため、サーバーでこれが解決されるまで、他のゲートウェイで問題が発生し続けるでしょう。また、オンラインでいくつかの提案を見つけました。送信リクエストを行う直前に次のコードを配置することを提案した人もいました。

残念ながら、それも機能しませんでした。同じエラーです。そのため、IIS7.5 サーバーに何か追加でインストールする必要があると考えています。よくわかりません。

私のアプリケーションでは、NetTcpBindings を使用し、メッセージ セキュリティとトランスポート セキュリティの両方が構成されている WCF サービスを使用しています (保護レベルは EncryptAndSign に設定されています)。サービスは、システムで Windows サービスとしてホストされます。

私が理解している限り、クライアントとサービス間の接続は SSL/TLS で保護する必要がありますか?

この場合、POODLE 攻撃のリスクがあるかどうか、および WCF サービスに対して SSL 3.0 を明示的に無効にする方法を教えてください。

したがって、これは比較的新しい問題です。

私の Web サイトは、OPENSuse 10 Enterprise にデプロイされた Apache2 サーバーで実行されています。私が読んだ限りでは、簡単なコマンド ライン テストがあります。

おそらく、これが出力として「SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:」を返す場合、とりわけ、SSLv3 はサポートされておらず、まったく問題ありません。そして、そうです。だからテストが確認されました-私はすべて元気です。

ただし、ここに問題があります。SSLLabs の担当者は独自のテストを行っています。リンクは次のとおりです: https://www.ssllabs.com/ssltest/index.html。このテストは失敗し、サーバーで SSLv3 がサポートされているため、実際には脆弱であることがわかります。

そうです、2 つのテストで、まったく逆の結果が得られました。どちらを信頼しますか? 他のテストはありますか？確実にする方法はありますか？

バージョン 5.0.1.5 であると報告されている Cast Iron アプライアンスを継承しました - 数年前であり、サポートされていません。

これは主に、数週間で SSL 3.0 を無効にするというメールを送ってきた Salesforce と話すために使用されます。プードル。

このバージョンの Cast Iron が TLS をサポートしており、SFDC が SSL 3.0 を無効にしても引き続き機能するかどうか教えてもらえますか? または、これを自分で確認する方法を教えてくれるものを教えてください。Googleで空白を描いています..

Apache サーバーの ssl.conf ファイルで「SSLProtocol All -SSLv2 -SSLv3」を介して apache の POODLE 修正を適用しましたが、「SSLVerifyClient require」を介した CAC クライアント認証に問題があります。「SSLVerifyClient none」を設定すると、Web アプリケーションに https 経由でアクセスでき、TLSv1 の正しいプロトコルを使用できることを確認しましたが、「SSLVerifyClient require」を設定すると (Web アプリケーションが CAC 対応であるため必要です)、ページを取得できません。 IE で表示されます (IE では SSLv2 と SSLv3 が無効になっています)。SSLVerifyClientの段階でSSLv3に再交渉していると思います.. Oracle HTTP Server（OHS）Apache 2.2.13でこれを修正する方法を知っている人はいますか??

ここに私の ssl.conf ファイルのスニペットがあります:

IIS が SSLv3 を無効にするようにレジストリを変更することについての説明を他の場所で見ました。ただし、これがサーバーへの着信要求と発信要求の両方に影響するかどうかは明確ではありません。HttpWebRequest を使用して Authorize.Net に接続するコードがあります。レジストリで SSLv3 を無効にすると、Authorize への HttpWebRequests は SSL の使用を停止し、代わりに TLS のみを使用しますか? または、コードを変更する必要がありますか?