Como desabilitar o protocolo SSL3 no Nginx
Dica publicada em Linux / Segurança
Como desabilitar o protocolo SSL3 no Nginx
Se você não definir explicitamente quais protocolos SSL teu servidor irá suportar, o Nginx deixa o SSL3 habilitado por padrão.
Para quem não sabe, o protocolo SSL3 (usado para conexões HTTPS) foi condenado por conta de uma grave falha de segurança, sendo ele vulnerável ao POODLE ATTACK, que pode facilmente quebrar a criptografia de comunicação entre o site e o usuário.
Então vamos lá! Abra um terminal e digite o seguinte comando para localizar o parâmetro "ssl_protocols" em sua configuração:
# grep -r ssl_protocols /etc/nginx
Abra o arquivo que declara o parâmetro acima e mude a linha para:
Se o grep não retornar registros, então ao invés de atualizar a linha acima, apenas adicione-a nginx.conf.
Agora basta reiniciar o Nginx e boa!
# service nginx restart
Para quem não sabe, o protocolo SSL3 (usado para conexões HTTPS) foi condenado por conta de uma grave falha de segurança, sendo ele vulnerável ao POODLE ATTACK, que pode facilmente quebrar a criptografia de comunicação entre o site e o usuário.
Então vamos lá! Abra um terminal e digite o seguinte comando para localizar o parâmetro "ssl_protocols" em sua configuração:
# grep -r ssl_protocols /etc/nginx
Abra o arquivo que declara o parâmetro acima e mude a linha para:
ssl_protocols TLSv1.2 TLSv1.1 TLSv1;
Se o grep não retornar registros, então ao invés de atualizar a linha acima, apenas adicione-a nginx.conf.
Agora basta reiniciar o Nginx e boa!
# service nginx restart
Bônus
Para ficar totalmente seguro e não depender de servidores web devidamente configurados, você também deve desabilitar o suporte ao SSL3 em seu browser. As últimas versões dos principais browsers de mercado já vem com o protocolo desabilitado, mas você pode garantir isso seguindo as instruções do site abaixo:Referências
- SSL Server Test (Powered by Qualys SSL Labs)
- Nginx Disabling SSL v3 Instructions - digicert.com
- Enable Perfect Forward Secrecy for nginx « AxiaCore