Introduzione

In questa sezione il CERT di Poste Italiane fornisce informazioni utili al corretto utilizzo e configurazione del protocollo SSL v.3 sia lato client che lato server. SSL – Secure Sockets Layer – e il suo successore TLS – Transport Layer Security – sono protocolli di crittografia progettati per fornire sicurezza alla comunicazione via Internet. Il loro maggior utilizzo è noto per il browsing web (HTTPS), tuttavia sono utilizzati anche per numerosi altri scopi.

La versione 1 dell’SSL non è mai stata rilasciata pubblicamente e la versione 2 è risultata profondamente insicura. Si è giunti quindi alla versione 3 dell’SSL, che, unitamente ai più recenti TLS versioni 1 / 1.1 / 1.2, sono i protocolli attualmente utilizzati per garantire sicurezza alle nostre comunicazioni più importanti su Internet.

Come accaduto per SSLv2, gli ingegneri di Google hanno scoperto una falla nel SSLv3 (con una tecnica nota come POODLE) che lo rende inadeguato e non più utilizzabile. Esiste una patch, ma non risolve completamente il problema perché funziona solo se entrambi gli endpoint della connessione sono correttamente configurati.

Con riferimento alle numerose problematiche di sicurezza relative al canale di connessione sicura, client e server dovrebbero disabilitare SSL v3 il più presto possibile. Nello specifico il canale sicuro HTTPS dovrebbe operare esclusivamente con le versioni TLS v1.0 e TLS v1.2.

APPLICAZIONI

Il protocollo SSL è utilizzato in numerose applicazioni. In particolare è utilizzato nei:

  • Browser (Internet Explorer, Firefox, Chrome, Safari, Opera);
  • Server Web (Apache, IIS, Nginx, Lighttpd);
  • Mail Server (SendMail, Postfix, Courier-imap);
  • Altro (OpenVPN, Java, HAProxy, Node.js).

DISABILITARE SSLv3 – BROWSER

Internet Explorer:

Per disabilitare SSLv3 in Microsoft Internet Explorer procedere come segue:

  • Aprire Opzioni Internet da Internet Explorer;
  • Selezionare la scheda (tab) Avanzate;
  • Individuare la sezione Sicurezza e deselezionare Usa SSL 3.0;
  • Confermare la configurazione cliccando OK.

Se avete una versione obsoleta di Windows, come Windows XP, assicuratevi che sia almeno aggiornato con il Service Pack 3 (SP3) per accedere ai siti che non forniscono il SSLv3.

Firefox:

Dalla versione 34 di Mozilla Firefox SSLv3 è disabilitato per impostazione predefinita, per le versioni precedenti procedere come segue:

  • Nella barra degli indirizzi digitare: about:config e poi invio;
  • Impostare a 1 il valore del parametro security.tls.version.min.

Chrome:
Google Chrome nelle nuove versioni (data dell’annuncio ancora non ufficializzata) avrà SSLv3 disabilitato per impostazione predefinita. In attesa del rilascio, per disabilitare il SSLv3 è possibile eseguire il browser, da riga di comando, con il parametro –ssl-version-min=tls1. In relazione al Sistema Operativo su cui si utilizza, per un collegamento su desktop, procedere come segue:

Windows:

  • Sul Desktop tasto destro sul collegamento Google Chrome, selezionare Proprietà;
  • In Destinazione, dopo l’ultimo carattere (doppio apice), aggiungere uno spazio seguito da:
    –ssl-version-min=tls1;
  • Cliccare su OK e confermare (inserire le credenziali di amministratore se richiesto).

NB. Per intervenire anche su ogni istanza del browser lanciata tramite link ricevuti via email o presenti in documenti, ecc. occorre intervenire sul registro di configurazione di Windows. In particolare, nella chiave HKEY_CLASSES_ROOT, è necessario modificare il valore della sottochiave ChromeHTML/shell/open/command con quanto segue:

“C:\Program Files\Google\Chrome\Application\chrome.exe” –ssl-version-min=tls1 — “%1″
(verificare il path del file chrome.exe per il proprio sistema)

ssl3_1
Linux:

Per Linux la modifica varia in funzione della distribuzione scelta. Per quanto riguarda Ubuntu, procedere come segue:

  • Editare il file /usr/share/applications/google-chrome.desktop
  • Individuare tutte le righe che cominciano con: Exec=
  • Aggiungere la stringa –ssl-version-min=tls1

Es. la riga: Exec=/usr/bin/google-chrome-stable %U
diventa: Exec=/usr/bin/google-chrome-stable –ssl-version-min=tls1 %U

Mac OS X:

Con l’editor AppleScript (disponibile in /Applications/Utilities/) digitare:

do shell script “open ‘/Applications/Google Chrome.app’ –args –ssl-version-min=tls1″
(verificare il path del file Google Chrome.app per il proprio sistema)

salvare il file come Applicazione (in Formato file) e aggiungere l’applicazione al Dock.

Safari:

Per il browser di Apple è sufficiente applicare il Security Update 2014-005, disponibile presso http://support.apple.com/kb/HT6531. L’aggiornamento è disponibile per Mac OS Mavericks, Mountain Lion, e Yosemite. La problematica è stata risolta disabilitando la funzionalità di cifratura CBC, utilizzata dagli attaccanti, quando falliscono i tentativi di connessione via TLS.

Opera:

SSLv3 è disabilitato dalla versione 12 per impostazione predefinita. Per le versioni di Opera 12.17 o precedenti procedere come segue:

  • Selezionare CTRL + F12
  • Selezionare la scheda (tab) Advanced
  • Cliccare Security sul menù a sinistra
  • Cliccare su Protocolli di Sicurezza
  • Deselezionare Abilita SSL 3
  • Cliccare su OK