POODLE: deshabilitar SSLv3 en Postfix, Sendmail, Dovecot, Courier-imap

En la entrada anterior veíamos como deshabilitar SSLv3 en los servidores web Apache, Nginx, Lighttpd para protegernos de la vulnerabilidad crítica en SSL 3.0 POODLE. Ahora nos centramos en los servidores de correo (POP3, IMAP, SMTP) y vamos a ver como deshabilitarlo en Postfix, Sendmail, Dovecot y Courier-imap. Deshabilitar SSLv3 en Postfix Para quitar SSLv3 Seguir leyendo


POODLE: deshabilitar SSLv3 en Apache, Nginx, Lighttpd

Vamos a ver como deshabilitar SSLv3 en los servidores web más conocidos: Apache, Nginx y Lighttpd. Podéis ver los detalles de la vulnerabilidad en el post POODLE: vulnerabilidad crítica en SSL 3.0 Deshabilitar SSLv3 en Apache Para deshabilitar SSLv3 en el servidor web Apache debemos modificar la directiva SSLProtocol ofrecida por el módulo mod_ssl. Por Seguir leyendo


POODLE: vulnerabilidad crítica en SSL 3.0

Y seguimos con las vulnerabilidades críticas, tras los problemas de bash en las últimas semanas con las vulnerabilidades CVE-2014-6271 y CVE-2014-7169 ahora le toca el turno al protocolo SSL (OpenSSL no se salva, por supuesto) con una vulnerabilidad (CVE-2014-3566) detectada ayer 14 de octubre y que todavía está siendo investigada por Bodo Möller, Thai Duong Seguir leyendo


OpenSSL: SSL23_GET_SERVER_HELLO:unknown protocol

Con OpenSSL podemos comprobar el estado de una conexión SSL o si la configuración de un servidor web (Apache, IIS, Lighttpd, NginX…) es correcta, tanto a nivel de certificado como de listeners. El comando para lanzar una petición al servidor web es el siguiente: # openssl s_client -connect miservidorweb.com Podemos especificar un puerto distinto: # Seguir leyendo


Generar un certificado SSL con genkey (Red Hat Keypair Generation)

Hoy vamos a ver una alternativa a la generación de certificados SSL con OpenSSL. Genkey (Red Hat Keypair Generation) es un comando disponible como parte del paquete crypto-utils: # yum whatprovides */genkey Loaded plugins: fastestmirror, presto Loading mirror speeds from cached hostfile …. …. crypto-utils-2.4.1-24.2.el6.i686 : SSL certificate and key management utilities Repo : base Seguir leyendo


Generar un certificado SSL propio con openssl

Gracias a OpenSSL, tenemos la posibilidad de crear certificados SSL “self-signed“, es decir, firmados por nosotros mismos para encriptar las conexiones a un sitio web bajo Apache. Normalmente, para un servidor en producción lo lógico es utilizar un certificado SSL firmado por una entidad autorizada y confiable “Trusted Certificate Authority“, no obstante, en servidores beta Seguir leyendo