ที่ผ่านมาเราจะเคยได้ยินข่าว เกียวกับช่องโหว่ของ SSLv3 ซึ่งเป็น Protocol ที่ออกมาตั้งแต่ปี 1996 (เก่ามากๆ)  และเป็นช่องโหว่ที่ถือว่าร้ายแรงเหมือนกัน มีผลทำให้สามารถถอดรหัสข้อมูลระหว่าง Client – Server ได้  ช่องโหว่นี้ถูกตั่งชื่อว่า “POODLE”  หรือ “Padding Oracle On Downgraded Legacy Encryption” หรือ CVE-20140-3566

พอดีเมือวานผม update server ใหม่ ให้รองรับ version SSL/HTTPS เลยได้ทำการ scan ทดสอบดูพบว่า ในค่า Default ของ Apache มันยังคง active ใช้งาน SSLv3 อยู่ (ในที่นี้ผมใช้ v 2.4.X) ก็เลยจะนำวิธีการยกเลิก SSLV3 มาฝากกันครับ

เราสามารถตรวจสอบ version ได้จากคำสั่งด้านล่าง

Link สำหรับตรวจสอบ SSLtest
https://www.ssllabs.com/ssltest/

ให้แก้ไขไฟล์ ssl.conf
จากนั้นมองหา SSLProtocol แล้วแก้เป็น SSLProtocol all -SSLv2 -SSLv3
หมายเหตุ : ถ้ามีเครืองหมาย – ข้างหน้า ProtocolName ทำให้ Apache มันจะถือว่าเป็นการยกเลิกใช้งาน Protocol นั้น

จากนั้นทำการ restart web server อีกที

แล้วลองตรวจสอบอีกทีผ่าน  https://www.ssllabs.com/ssltest/

เรียบร้อยละครับ

Facebook Comments
Share Button

Watchara Pongsri

Senior Software Engineer, Network Engineer CEH, CHFI, ECSA, MCSA My hobby is - Blogger - Programming & Security Researcher

More Posts - Website

Follow Me:
TwitterFacebookLinkedInGoogle Plus

วิธีปิดการให้บริการ SSLv3 บน Apache เพื่อป้องกันการโจมตีจากช่องโหว่ “POODLE Attack” (Padding Oracle On Downgrade Legacy Encryption) บท CentOS (CVE-20140-3566)