プードル SSL 3.0 の状況についてのメールを受け取りました。他のみんなと同じように、12 月 3 日の締め切りが迫る前に、この問題に取り組みたいと思っています。SSL 3.0 から TLS に更新する方法を PayPal が言っていたので、それを実行しようとしてきました。ここで、誰かがこの問題を解決するために見ることができる本当に良いウォークスルーを持っているかどうか尋ねます?? または、ここに手順を追加することもできます。Paypal に連絡してみましたが、必要なガイダンスが提供されません。

それは有り難いです！！

Play ストアに既に起動されているアプリケーションがあります。Facebook のログインは正常に機能しますが、クライアントが変更を要求しました。変更が加えられました。現在、アプリケーションをテストしていますが、Facebook ログインが機能しなくなりました。次の場合を除いて、明示的なエラー メッセージはありません。

これらのエラーは、ログイン ボタンを押した後に発生します。

ユーザーがログインしていない場合、(SSO の有無にかかわらず) 押して認証すると、LoginButton に「Facebook でログイン」と表示され、「ログアウト」と表示されますが、グラフ ユーザーは空で、ユーザー名または表示を取得できません。写真。

私はこの投稿を認識しており、Facebook の最新の SDK を既に使用していますが、何も機能しません。

これが私のコードです- SSO ログインを無効にしましたが、問題は解決しません。

SSLv3 を防止するため、または TLSv1 を強制するために、SDK に変更する必要があるものはありますか?

テスト済みの電話: Note 2 ストック ROM、Galaxy S4 ストック ROM、Samsung S3 4.2.2 CyanogenMod、Xiami Note ROM、Galaxy S2 ストック ROM。

エラーのない電話: 注 3 ストック ROM

SSL経由でSonarqube 4.0を実行しています。脆弱な SSLv3 プロトコルを無効にして、TLSv1 以上のみを許可したいと考えています。これは可能ですか？その場合、どの設定を変更する必要がありますか?

Domino から同じ WebService を実行している 5 つの顧客がいます。今週末、顧客のサーバーを Domino 9.01 に更新しました。FP2 および Poodle フィックスパックにより、TLS 1.0 の送受信を実行できるようになります。

4 顧客は完璧に動作します 1 顧客は送信 Web サービスに対して SSL エラーを受け取ります (サーバーを更新する前と同じエラー)。受信 Web サービスは TLS に対して機能しているため、Poodle の更新は意図したとおりに機能したと推測されます。

動作中のサーバーと失敗したサーバーのいくつかの DEBUG_SSL パラメータを設定した後、このログを取得しました

失敗した行は

S_Read> nti_done リターン 0 バイト rc = 9

意図した代わりに

S_Read> nti_done リターン 5 バイト rc = 0

SSL_RCV> 00000000: 16 03 01 00 2E

私はグーグルを検索しましたが、何が欠けているのかを理解するものは何もありません.暗号の交渉に問題があると思いますが、この問題を解決するために何をすべきか. 私はそこに賢い人がいることを知っています;-)

失敗したサーバー ハンドシェイクからのログ

...

稼働中のサーバー ハンドシェイクからのログ

....

/ステファン

PS: ハンド シェイク エラーの後に発生する Java エラーは次のとおりです。

私はopenSSL 0.9.8zcを搭載したサーバーを持っており、そのブラウザはそれにアクセスできます。openSSL から SSLv3 を無効にすることで、サーバーを POODLE 攻撃から保護しようとしています サーバーは MSDEV 2005 でビルドされています ファイルを変更しました: openssl\Configure をセクションに追加します: "my %disabled = "、次の 2 つ行:

次に、openssl モジュールを再度コンパイルします。ビルドアウトを確認したところ、多くのビルドオブジェクトが作成されていないことが確認されました。これは良いことです。例: s2_clnt.obj、ssl_algs.obj、t1_clnt.obj、kssl.obj、d1_both.obj、bio_ssl.obj など...

しかし、ブラウザー IE6 sp3 からサーバーへの接続を開こうとすると (高度なタブ オプションから設定できる唯一のプロトコルは sslv3 です)、サーバーへの接続は sslv3 を使用して行われますが、サーバーでは sslv3 が無効になっているはずです。 .

openssl sslv3 を無効にしますか? 別の方法を実行する必要がありますか? sslv3 を無効にするために、openssl をビルドする前に実行する必要がある一連のアクションは何ですか?

これが私の環境です：サーバーRHEL 6.3、Apache 2.2.15、Tomcat 6、OpenSSL 1.0.0-fips

Google Chrome 39 の Poodle の脆弱性を排除するために、数日前から設定ファイルで SSL 2 と SSL 3 をブロックしようとしていますが、サーバーはまだ脆弱であり、SSL V3 を受け入れています。

私が今までやったこと：

1. SSLProtocol All -SSLv2 -SSLv3httpd-ssl.confにディレクティブを追加
2. 「apachectl configtest」でファイルの構文を確認してください</li>
3. アパッチを再起動する

Google Chrome に引き続きメッセージが表示される

ERR_SSL_FALLBACK_BEYOND_MINIMUM_VERSION

httpd-vhosts.conf という名前の別の構成ファイルがあり、そこで Tomcat を指す仮想ホストが定義されているため、SSLProtocol All -SSLv2 -SSLv3block 内に同じディレクティブを追加しようとすると、メッセージが表示されました

ERR_SSL_VERSION_OR_CIPHER_MISMATCH

Google Chrome と Internet Explorer では、Opera と FireFox はまったく機能しませんでした。

確認または変更する必要があるものはありますか? 頭の毛がほとんどなくなった…</p>

当社の実稼働サーバーは Windows Server 2008 で実行されており、現在 SSL 2.0 が有効になっています。TLS 1.0 プロトコルへの移行を検討しています。レジストリで SSL を無効にして TLS 1.0 を有効にする方法について、オンラインでいくつかのヘルプを見つけました。IIS でさまざまな LIVE アプリケーションを構成しており、アプリケーションごとにこの移行をテストしたいと考えています。レジストリで TLS を有効にすると、アプリケーション プール内のすべてのアプリケーションに影響すると思います。私の質問は、単一のアプリケーションに対して SSL を無効にして TLS を有効にし、それをテストしてから、すべてのアプリケーションに伝播する方法はありますか?

Windows Server 2008 R2 で Apache 2.4.9 を実行しています。

Poodle 攻撃を防ぐために、すぐに SSLv3 を無効にする必要があります。そのためにファイルを開きました\conf\extra\httpd-ssl.conf

次に、次のコード行を追加しました

変更を保存した後、Apache を再起動しました。

戻ってきたとき、私はの出力を見ましたが、phpinfo()それでも次のことがわかります

SSL_PROTOCOL TLSv1.2 登録済みストリーム ソケット トランスポート tcp、udp、ssl、sslv3、sslv2、tls

phpinfo()SSLv3 と SSLv2 が無効になっているかどうかを確認する場所はどこですか?

これが正しく行われていることを確認するために行ったその他の方法を次に示します。他のコマンドの代わりにこの行を追加してみました (ie. SSLProtocol All -SSLv2 -SSLv3)

Apache24ディレクトリ内に「SSLProtocol」という単語を含むファイルを検索しようとしました

これは2つのファイルしか見つかりませんでした

1. httpd-ssl.conf
2. CHANGES.txt

サーバーで SSLv3 が無効になっているかどうかを確認するにはどうすればよいですか? まだ無効になっていない場合、適切に無効にする方法は?