Google a divulgué des informations sur les vulnérabilités dans la conception de SSL 3.0. Cela peut permettre à un attaquant de réseau potentiel pour calculer le texte en clair des connexions sécurisées. Cette cyberattaque s’appelle un « caniche » (Padding Oracle On Downgraded Legacy Encryption). Dans le cas d’une attaque de caniche, un pirate peut forcer votre navigateur à passer à une ancienne version (SSL 3.0), qui n’est pas aussi sûre que la norme SSL actuelle. Pour que l’attaque soit réussie Le trafic chiffré doit passer par un nœud malveillant (c’est-à-dire un routeur ou un ordinateur), ce qui peut faire en sorte que le serveur/client se replie vers protocole (SSLv3). Dans ce cas Les pirates informatiques pourraient espionner vos courriels, vos opérations bancaires ou tout autre type de données voyageant vers et depuis votre ordinateur. C’est un vilain malveillant , c’est le moins qu’on puisse dire.

Ce problème affecte une grande partie des serveurs connectés à Internet qui peuvent être à risque pour le protocole SSLv3. SSLv3 a été remplacé par le TLS plus robuste, qui est plus efficace que SSLv3 qui remonte à 15 ans. Malheureusement, en raison de contraintes héritées, la plupart des serveurs Internet peuvent être forcés de se retirer vers SSLv3. La réponse recommandée à ce problème est la suivante : soutenir TLS_FALLBACK_SCSV. « SON SCSV DE SECOURS résout les problèmes associés à la nouvelle tentative de connexions échouées; par conséquent, cela interdit aux pirates d’inciter les navigateurs à utiliser SSL.30. Ce mécanisme empêche également les attaquants de forcer navigateurs à utiliser SSL 3.0, en raison de problèmes associés à la rétentative de connexions échouées. De plus, il empêche également « les attaques futures en empêchant les rétrogradations de TLS 1.2 à 1.1 ou 1.0 .(Mller, 2014)

Si vous utilisez un système qui exécute SSL 3.0, il est conseillé de définir une valeur de suite de chiffrement de signalisation (SCSV) pour éviter les rétrogradations involontaires de protocole entre les clients et les serveurs lorsque les deux parties prennent en charge une version supérieure du protocole.

Vous trouverez ci-dessous des directives sur les serveurs Web les plus fréquemment utilisés.

1. SERVICES D’INFORMATION INTERNET (IIS) : Microsoft Windows NT Server stocke les informations de protocole dans la clé de registre HKey_Local_MachineSystemCurrentControlSetControlSecurityProvidersSCHANNELProtocols. Cette clé contient des sous-clés pour PCT 1.0, SSL 2.0, SSL 3.0 et TLS 1.0. Vous pouvez désactiver n’importe lequel de ces protocoles en créant une nouvelle valeur DWORD avec la valeur « 00 00 00 00 » dans la sous-clé du serveur correspondant au protocole à désactiver. Plus d’informations sur la configuration de la cryptomonnaie sur IIS http://support2.microsoft.com/kb/187498

2. APACHE HTTPD SERVER : Configurez les connecteurs https pour que l’attribut sslProtocol soit défini sur « TLS » dans le fichier de configuration :
< Connector protocol= »HTTP/1.1 » SSLEnabled= »true »
port= »8443 » address= »${jboss.bind.address} »
scheme= »https » secure= »true » clientAuth= »false »
keystoreFile= »${jboss.server.home.dir}/conf/keystore.jks »
keystorePass= »rmi+ssl » sslProtocol = « TLS » />

3. TOMCAT :Le protocole SSL à utiliser peut être configuré via $TOMCAT_HOME/conf/server.xml :< Connector port= »8443 » protocol= »org.apache.coyote.http11.Http11Protocol »
maxThreads= »150 » SSLEnabled= »true » scheme= »https » secure= »true »
clientAuth= »false » sslProtocol= »TLS »/>

4. TOMCAT APR : Semblable à Tomcat, le protocole à utiliser est défini dans le fichier $TOMCAT_HOME/conf/server.xml :< Connector port= »443 » maxHttpHeaderSize= »8192″
maxThreads= »150″
enableLookups= »false » disableUploadTimeout= »true »
acceptCount= »100 » scheme= »https » secure= »true »
SSLEnabled= »true »
SSLProtocol= »TLSv1″
SSLCertificateFile= »${catalina.base}/conf/localhost.crt »
SSLCertificateKeyFile= »${catalina.base}/conf/localhost.key » />

5. NGINX SERVER : Incluez la ligne suivante dans le fichier de configuration de Nginx : ssl_protocols TLSv1 TLSv1.1 TLSv1.2; Redémarrez le service avec sudo service nginx restart (si vous utilisez Linux).

6. POSTFIX SMTP : Ajoutez ou modifiez la directive smtpd_tls_mandatory_protocols comme ceci :
smtpd_tls_mandatory_protocols =! SSLv2,! SSLv3
Redémarrez Postfix avec sudo postfix restart pour que les modifications prennent effet.

7. HAPROXY SERVER : Modifiez le fichier /etc/haproxy.cfg et trouvez votre ligne de liaison. Ajoutez la directive no-sslv3 comme dans l’exemple ci-dessous :
bind :443 ssl crt ciphers no-sslv3
Plus d’informations sur la configuration des serveurs Web sous Linux sont disponibles ici.