问题标签 [poodle-attack]

假设我做这样的典型事情：

API 服务告诉我，由于 POODLE 漏洞，他们正在关闭 SSL 3.0，我是否必须对我的代码做任何事情以确保它会使用 TLS？发出请求的机器是否需要发生任何事情？

我知道这个问题有很多无知，但我认为很多开发人员只是希望回答这个问题。

有人知道如何停用 SSLv3 吗？有人知道 DW 是否支持 SSLv3 或者我如何检查 DW 0.7.1 支持什么？

现在发现 SSL 3 容易受到POODLE攻击：

System.Net.WebRequest 在连接到任何 https Uri 时使用哪些版本的 SSL/TLS？

我使用 WebRequest 连接到几个 3rd 方 API。其中之一现在表示他们将阻止任何使用 SSL 3 的请求。但 WebRequest 是 .Net 核心框架（使用 4.5）的一部分，因此它使用的版本并不明显。

现在发现 SSL 3 容易受到POODLE攻击：

连接到任何 https Uri 时，System.Web.Services.Protocols.SoapHttpClientProtocol 使用什么版本的 SSL/TLS？

我使用 SoapHttpClientProtocol 连接到几个第 3 方 SOAP API。其中之一现在表示他们将阻止任何使用 SSL 3 的请求。但 SoapHttpClientProtocol 是 .Net 核心框架（使用 4.5）的一部分，因此它使用什么版本的 SSL 或如何覆盖该版本并不明显。

请注意，此问题与 System.Net.WebRequest 支持哪些 SSL/TLS 版本？. 我使用了几个 API，有些是 REST（另一个问题是针对那些），有些是 SOAP（这个问题是针对那些）

我的应用程序使用了一些 Web 服务并通过 JSON 获取数据，在很长一段时间内一切正常，直到最新发现 SSLv3 容易受到中间人攻击并且服务器所有者永久关闭 SSLv3 . 我的应用程序开始出现连接问题并返回错误“请求被中止：无法建立安全的 SSL/TLS 连接”。我试图寻找解决方案并找到我必须在创建 Web 请求之前添加此代码的信息：

不幸的是，这里没有运气，应用程序的行为与以前相同，我不知道这段代码是否什么都不做，或者服务器仍然存在问题。错误信息非常模糊，我无法确定哪里出了问题。

这是我的代码

我想询问如何将Tls12设置为默认值，并确保在我提出的最终请求中使用所需的协议。

如果我确认我的应用程序运行正常，有没有办法从服务器响应中获取更详细的信息并查明错误的确切原因？

感谢所有的答案和建议。

编辑

问题的第二部分已解决，我发现这个工具http://www.telerik.com/download/fiddler它几乎可以让您查看传出和传入数据的情况。此工具还允许解码 SSL 连接，启用此选项使我的应用程序开始工作。我假设这个应用程序做了一些事情，使我的应用程序和目标主机之间的通信成为可能。但我仍然不知道它可能是什么。以及如何让我的应用程序自行正确处理这些连接。

有没有办法阻止 Thin 接受使用 SSLv3 的请求？

我找不到任何关于如何为运行 SSL 的瘦服务器处理贵宾犬的资源。如果我不需要的话，我不想在 nginx 后面瘦身，所以任何资源都会有所帮助。我查看了源代码，但找不到猴子修补它的方法，甚至找不到对它的引用。

基于Recommendations原始研究：

https://www.openssl.org/~bodo/ssl-poodle.pdf

如果中间人 (MITM) 拦截通信，假设客户端的“Hello”与密码以清晰的方式传播，那么在降级期间，什么会阻止 MITM 删除 TLS_FALLBACK_SCSV 标志（从而使提议的机制效率低下）？

无论如何它并不是完全有效的（因为现有的 SSL3.0 浏览器会受到影响 - 否则它的支持可能会在服务器端被完全删除）：只是鉴于 TLS_FALLBACK_SCSV 借口下的 Chrome 推广......

我的一个遗留 Ruby 应用程序仍然使用 Ruby 1.8.7。它在第三方 Web 服务上发出大量 HTTP 请求，其中一些通过 SSL。

由于 POODLE 漏洞，这些第三方服务正在放弃对 SSLv3 的支持，我想修补我的客户端以继续连接到它们。

Ruby 的标准库Net::HTTP似乎没有办法更改使用的 SSL 版本。

在 Ruby openssl( ssl-internal.rb ) 中有一种方法可以更改版本。可悲的是，Net::HTTP( https.rb ) 没有公开这一点。

我们（Ruby 1.8.7 的用户）搞砸了吗？

编辑：事实上，TLSv1如果服务器不支持，客户端似乎正在切换到SSLv3. 我在 Nginx 后面有一个不支持 SSLv3 的启用 SSL 的网站，并且我已经验证我的 1.8.7 客户端正在切换到 TLSv1 并且请求有效。如果您想自己验证，请看这里：https ://serverfault.com/questions/620123/how-can-i-let-nginx-log-the-used-ssl-tls-protocol-and-ciphersuite

关于 POODLE 漏洞，如果我理解正确的话，它需要一个客户端在无法与使用服务器发布的更高版本协议的服务器建立安全通道时自动将 TLS 协议降级到 SSLv3。

当无法与服务器建立 TLS 会话时，常见的 java HTTP 客户端库，特别是 javax.net.ssl.HttpsURLConnection 和 Apache HttpClient，是否会自动降级 TLS 协议？如果不是，我是否正确，除非（a）服务器仅支持 SSLv3，或者（b）更高级别的逻辑执行降级，否则他们可以免受 POODLE 攻击？

我正在寻找类似http://blog.hagander.net/archives/222-A-few-short-notes-about-PostgreSQL-and-POODLE.html但适用于 Java 客户端的内容。

我有几台生产服务器运行带有 APR+SSL 连接器的 Tomcat 7.0，并且由于最近的 POODLE 攻击，我被要求在其中一些服务器中完全禁用 SSLv3。我深入研究了Tomcat 连接器文档，并根据它，设置SSLProtocol为TLSv1（而不是all应该足以禁用 SSLv3 并强制执行 TLSv1。

问题是TLSv1似乎启用了 TLS 但不会使服务器拒绝 SSLv3。我对此进行了测试，openssl s_client -connect -ssl3并验证了仍然可以接受普通的旧 SSLv3 连接，所以我想知道这是否是 Tomcat 中的错误，或者是否还有其他需要设置为完全禁用 SSLv3 的东西。

更新：我现在禁用 APR 并恢复使用 NIO 连接器，sslProtocol="TLS"并且工作正常。这个问题似乎特别影响了 APR。作为参考，这是我的新连接器配置：