關閉 SSLv3

如何關閉 SSLv3

POODLE 安全性漏洞,全名 Padding Oracle On Downgraded Legacy Encryption (CVE-2014-3566),是針對 SSL v3 出現嚴重的漏洞,有心人士可透過特定方式取得加密的片段資訊,以下整理關閉的方式供實體主機VPS/雲端主機用戶參考。

關閉後的影響:

IE6 (Windows XP用戶) 會無法瀏覽您主機的 SSL 網站,這個族群約占 6%,不過在不久的將來,Google 等大型入口網站都會關閉 SSLv3 的支援,我想這是必經的過程。

目前我們虛擬主機的作法是關閉對應的 SSL Cipher,也就是出問題的演算法,暫時避過此安全性漏洞,待 Google 等指標型網站完全關閉 SSLv3 後再跟進全面關閉。

Apache:

找到下列指令修改,CentOS 可能位於:/etc/httpd/conf.d/ssl.conf

SSLProtocol All -SSLv2 -SSLv3

cPanel/WHM:

登入 WHM >> Apache Configuration >> Global Configuration

找到 SSL Cipher Suite 欄位,加入 -SSLv3,範例:

ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-SSLv3:-EXP:!kEDH

NGINX:

編輯您的 NGINX 設定檔,例: nginx.conf

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

CentOS 6 mail Server Dovecot:

CenoOS6 預設搭載 Dovecot,要關閉 SSLv3 請在設定檔 (/etc/dovecot/local.conf) 尾端加入:

ssl_protocols = !SSLv2 !SSLv3

Microsoft IIS:

請參考此篇文章關閉 SSLv3

以上供各位參考囉!