Tutorial resolver amenaza poodle en Apache

En este tutorial veremos cómo podemos resolver las amenazas de Poodle y configurar forward secrecy en el servidor Apache de un sistema operativo GNU/Linux CentOS 6.

Para verificar si hay actualizaciones:

yum check-update

Para actualizar todo el sistema operativo:

yum update

Para deshabilitar SSLv3 en el servidor Apache hay que abrir con el editor el archivo /etc/httpd/conf.d/ssl.conf

# soluciona vulnerabilidad Poodle
SSLProtocol All -SSLv2 -SSLv3
# habilita forward secrecy
SSLHonorCipherOrder On
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS

Verificar si la configuración del archivo está correcta:

apachectl configtest

Reiniciar el servidor apache:

sudo service apache2 restart

Verificamos que funciona como esperado:

openssl s_client -connect <IP_servidor>:<puerto> -ssl3

Testes online: https://www.tinfoilsecurity.com/poodle (Poodle) y https://www.ssllabs.com/ssltest/ (forward secrecy).

Fuentes consultadas: http://disablessl3.com/# , https://access.redhat.com/solutions/1232413 , https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/
ASF-logo” by Apache Software Foundation (ASF) – http://www.apache.org/. Licensed under Apache License 2.0 via Wikimedia Commons.