Деактивирайте SSL от страната на сървъра и клиента

Бележки на практикуващ администратор. Софтуерни настройки. Анализ на програмни грешки. Решения

клиента

Първо можем да деактивираме проблемния протокол от страната на нашия сървър. За това:

в случай на apache в httpd.conf или конфигурация на виртуален сървър

в случай на nginx

след това спрете/стартирайте сървъра

След това отиваме в Qualys SSL Lab и проверяваме сървъра. Следователно тестването трябва да потвърди, че SSL е деактивиран. Ако е възможно, би било хубаво да инсталирате най-новия openssl без SSL поддръжка и да компилирате отново целия софтуер

Второ деактивирайте поддръжката на SSL протоколи от страна на браузъра

в случай на Firefox

в случай на google-chrome

трябва да добавите параметъра -ssl-version-min=tls1 в свойствата на прекия път към изпълнимия файл

в случай на IE

Настройки -> Интернет опции -> Разширени -> намерете елементите Използване на SSL3/Използване на SSL2 и премахнете отметките от тях

Отново отиваме в Qualys и проверяваме поддръжката на протокола в браузъра. Тестването трябва да потвърди деактивирането на протоколите SSLv2/v3

Общи препоръки

Не използвайте системата openssl, инсталирайте най-новото от портовете и редовно го актуализирайте и софтуера, който зависи от него. Създайте openssl без поддръжка за SSLv2/v3

Преконфигурирайте сървърния софтуер за използване на защитени TLS протоколи, ако е възможно използвайте TLSv1.2

Актуализирайте браузърите до най-новата версия, където SSLv2/v3 е деактивиран по подразбиране