Jak osetrit SSLv3 POODLE v Lighttpd?

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.

Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Od M.

Dne 2014-10-20 12:21 Upraveno 2014-10-29 23:11

Zjistil jsem, ze v defaultnim nastaveni SSL pro Lighttpd neni zakazano SSLv2 a SSLv3, proto jsem do /etc/lighttpd/conf.d/ssl-enable.conf pridal radky:

ssl.use-sslv2 = "disable"
ssl.use-sslv3 = "disable"

Ovsem po restartu Lighttpd a overeni podpory SSLv3 pomoci:

openssl s_client -connect <server>:<port> -ssl3

je SSLv3 stale povoleno :-(

Od M.

Dne 2014-10-21 12:23

Uz jsem na to prisel, mel jsem SSL engine povolen i primo v /etc/lighttpd/lighttpd.conf, kdyz jsem radky zakomentoval, SSLv3 je jiz zakazano.

Od Ruda004

Dne 2014-10-28 23:45

Mě stačilo jen přidat do /etc/lighttpd/conf.d/ssl-enable.conf ssl.use-sslv3 = "disable"
sslv2 je vypnuto asi jinde od výroby.

Nebude sslv3 řešeno nějakou příští aktualizací Turris?

Od M.

Dne 2014-11-06 11:40

Ano, to je pravda, ale dříve byl konfigurační web dostupný pouze přes HTTP, nikoliv HTTPS, proto jsme si SSL povolil sám; ovšem přímo v /etc/lighttpd/lighttpd.conf a ne v /etc/lighttpd/conf.d/ssl-enable.conf, proto jsem musel SSL v /etc/lighttpd/lighttpd.conf zakázat.