問題タブ [sslv3]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
ruby - Net::HTTP と Ruby 1.8.7 で ssl バージョンを変更します
私のレガシー Ruby アプリケーションの 1 つは、まだ Ruby 1.8.7 を使用しています。サードパーティの Web サービスで多くの HTTP リクエストを作成し、そのうちのいくつかは SSL 経由です。
これらのサードパーティ サービスは、POODLE の脆弱性が原因で SSLv3 のサポートを終了しており、クライアントにパッチを適用して接続を継続したいと考えています。
Ruby の標準ライブラリNet::HTTPには、使用する SSL バージョンを変更する方法がないようです。
Ruby のopenssl( ssl-internal.rb ) には、バージョンを変更する方法があります。残念ながら、これはNet::HTTP( https.rb ) によって公開されていません。
私たち (Ruby 1.8.7 のユーザー) はめちゃくちゃですか?
編集:実際、TLSv1サーバーがサポートしていない場合、クライアントはに切り替えているようSSLv3です。Nginx の背後に、SSLv3 をサポートしていない SSL 対応の Web サイトがあり、1.8.7 クライアントが TLSv1 に切り替わり、リクエストが機能することを確認しました。自分で確認したい場合は、こちらをご覧ください: https://serverfault.com/questions/620123/how-can-i-let-nginx-log-the-used-ssl-tls-protocol-and-ciphersuite
facebook - Poodle のバグが原因で SSLv3 を無効にすると、Facebook で問題が発生し、グラフが開く
私は Nginx を使用し、次の行を追加しました: ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 私のサーバーディレクティブに。SSLv3 を無効にすることに成功しましたが、Facebook で別の問題が発生しました。
Facebook がオープン グラフ タグを読み取ることができず、次のエラーが表示されます。
誰でもそれを解決する方法を知っていますか?
java - Poodle 脆弱性修正後の SSLV3 ハンドシェイクの問題
最近、サーバーに POODLE の脆弱性に対するパッチを適用し、その脆弱性をテストしたところ、問題はないように見えました。しかし、現在の問題は、HTTPS を介して通信する内部サービスがあり、その通信が次のエラーで中断されていることです -
両方のサービスが同じ tomcat サーバーにデプロイされているため、これは内部 Web サービス呼び出しです。
どうすればこれを修正できますか?
asp.net - ASP.net WebRequest Internal SSL protocol?
With the recent disclosure of POODLE (CVE-2014-3566) many servers, including payment gateways, are disabling SSLv3 on their servers and forcing the use of TLS.
Does anyone know which SSL protocol is used internally by the ASP.net Framework for things like WebRequest? If it uses SSLv3 and doesn't automatically fall back to TLS, is there a way to configure this?
Note: We have already disabled SSLv3 via the registry and it does not seem to have impacted HTTPS traffic to our websites. I'm just not sure what is going to happen when the payment gateway turns it off on their end.
apache2 - POODLE / SSLv3 対応テストに対して脆弱ですか?
したがって、これは比較的新しい問題です。
私の Web サイトは、OPENSuse 10 Enterprise にデプロイされた Apache2 サーバーで実行されています。私が読んだ限りでは、簡単なコマンド ライン テストがあります。
おそらく、これが出力として「SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:」を返す場合、とりわけ、SSLv3 はサポートされておらず、まったく問題ありません。そして、そうです。だからテストが確認されました-私はすべて元気です。
ただし、ここに問題があります。SSLLabs の担当者は独自のテストを行っています。リンクは次のとおりです: https://www.ssllabs.com/ssltest/index.html。このテストは失敗し、サーバーで SSLv3 がサポートされているため、実際には脆弱であることがわかります。
そうです、2 つのテストで、まったく逆の結果が得られました。どちらを信頼しますか? 他のテストはありますか?確実にする方法はありますか?