Онемогућите SSLv3 и SSLv2 на вашем мејл и веб серверу

Веб сервери


Apache

Упишите ову линију у ваш апач конфигурациони фајл, или замените постојећу директиву која починје са SSLProtocol:

SSLProtocol All -SSLv2 -SSLv3

Сачувајте конфигурациони фајл и покрените:

sudo apache2ctl configtest && sudo service apache2 restart.

Ваш вебсајт можете тестирати овде.

IIS

Креирајте текст фајл и сачувајте га као disable_ssl3.reg и упишите следећи садржај:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"Enabled"=dword:00000000

Покрените фајл и потврдите упис у регистар.

Ваш вебсајт можете тестирати овде.

Nginx

Упишите ову линију у ваш апач конфигурациони фајл, или замените постојећу директиву која починје са ssl_protocols:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Рестартујте nginx веб сервер

sudo service nginx restart

или

/etc/init.d/nginx restart

Ваш вебсајт можете тестирати овде.

Lighttpd

Lighttpd верзија пре 1.4.28 дозвољава да онемогућите само SSLv2.

Ако имате верзију 1.4.29 или новију, упишите следеће линије у конфигурациони фајл:

ssl.use-sslv2 = "disable"
ssl.use-sslv3 = "disable"

Рестартујте сервис

sudo service lighttpd restart

Ваш вебсајт можете тестирати овде.

Мејл сервери


Sendmail

Упишите следеће линије кода у sendmail.mc конфигурациони фајл, у секцији LOCAL_CONFIG:

LOCAL_CONFIG
O CipherList=HIGH
O ServerSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3 +SSL_OP_CIPHER_SERVER_PREFERENCE
O ClientSSLOptions=+SSL_OP_NO_SSLv2 +SSL_OP_NO_SSLv3

Рестартујте сервис

sudo service sendmail restart

или

/etc/init.d/sendmail restart

Postfix

Упишите следеће линије у ваш конфигурациони фајл или исправите постојеће директиве:

smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3
smtp_tls_mandatory_protocols=!SSLv2,!SSLv3
smtpd_tls_protocols=!SSLv2,!SSLv3
smtp_tls_protocols=!SSLv2,!SSLv3

Рестартујте сервис

sudo service postfix restart

или

/etc/init.d/postfix restart

Dovecot

Упишите постојеће линије у конфигурациони фајл /etc/dovecot/local.conf или исправите постојеће:

ssl_protocols = !SSLv2 !SSLv3

Рестартујте сервис

sudo service dovecot restart

или

/etc/init.d/dovecot restart

Courier-imap

Упишите следеће линије у конфигурациони фајл /etc/courier/imapd-ssl или промените постојеће директиве:

IMAPDSSLSTART=NO
IMAPDSTARTTLS=YES
IMAP_TLS_REQUIRED=1
TLS_PROTOCOL=TLS1
TLS_STARTTLS_PROTOCOL=TLS1

Рестартујте сервис

sudo service courier-imap restart

Тестирајте ваш сервер или веб сајт

На крају тестирајте да ли ваш сервер подржава SSLv3 и да ли сте успешно искључили ову опцију.

Ако је ваш веб сајт јавно доступан на Интернету можете користити ове два веб сајта за тестирање,

Ако желите да тестирате ваш сервер локално или не желите да делите вашу адресу сајта на Интернету, можете користити openssl команду на вашем Unix/Linux серверу:

openssl s_client -connect : -ssl3

Сервер који има онемогућен SSLv3 вратиће поруку о грешци и можете бити сигурни да је SSLv3 искључен.