Weer SSL probleem, niet bij LinuxPro

By | 16 oktober 2014

Er is wederom een 'lek' gevonden, poodle genaamd, waardoor een beveilgde SSL verbinding met bijv. een website kan worden afgeluisterd, een zgn. man in the middle attack. Het probleem doet zich alleen voor bij het verouderde SSL v3 protocol. Deze wordt door ons niet meer gebruikt waardoor websites van LinuxPro zoals de webmail en blog, niet kwetsbaar zijn.

Het is voor webservers als Apache en NGINX vrij eenvoudig dit protocol niet te gebruiken, gebruik voor NGINX onderstaande regel:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Na een herstart kan via de site van Qualsys je de SSL instellingen controleren en zien of je server kwetsbaar is.