Vamos a ver como deshabilitar SSLv3 en los servidores web más conocidos: Apache, Nginx y Lighttpd. Podéis ver los detalles de la vulnerabilidad en el post POODLE: vulnerabilidad crítica en SSL 3.0
Deshabilitar SSLv3 en Apache
Para deshabilitar SSLv3 en el servidor web Apache debemos modificar la directiva SSLProtocol ofrecida por el módulo mod_ssl.
Por defecto, en sistemas Red Hat, CentOS y derivados esta directiva se especifica en el archivo de configuración donde se engloba toda la configuración SSL:
/etc/httpd/conf.d/ssl.conf
Debemos modificar la directiva por lo siguiente, que permite todos los protocolos excepto SSLv3 y SSLv2.
SSLProtocol all -SSLv3 -SSLv2
Una vez realizado, reiniciamos Apache:
# service httpd restart
En Debian y Ubuntu el archivo de configuración ssl.conf se encuentra en una ruta distinta:
/etc/apache2/mods-available/ssl.conf
# service apache2 restart
Deshabilitar SSLv3 en Nginx
En Nginx SSLv3 también está habilitado por defecto.
Debemos modificar la directiva ssl_protocols del archivo de configuración nginx.conf, esta directiva especificará los distintos protocolos permitidos en el bloque http { }:
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
Si quitamos la versión 3 quedaría la siguiente configuración:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
Una vez modificado recargamos la configuración de nginx:
# nginx -s reload
Deshabilitar SSLv3 en Lighttpd
En Lighttpd editamos el archivo de configuración:
/etc/lighttpd/lighttpd.conf
Y deshabilitamos SSLv3 y SSLv2:
ssl.use-sslv2 = "disable" ssl.use-sslv3 = "disable"
Y reiniciamos el servicio:
# service lighttpd restart