POODLE: deshabilitar SSLv3 en Apache, Nginx, Lighttpd

Vamos a ver como deshabilitar SSLv3 en los servidores web más conocidos: Apache, Nginx y Lighttpd. Podéis ver los detalles de la vulnerabilidad en el post POODLE: vulnerabilidad crítica en SSL 3.0

Deshabilitar SSLv3 en Apache

Para deshabilitar SSLv3 en el servidor web Apache debemos modificar la directiva SSLProtocol ofrecida por el módulo mod_ssl.

Por defecto, en sistemas Red Hat, CentOS y derivados esta directiva se especifica en el archivo de configuración donde se engloba toda la configuración SSL:

/etc/httpd/conf.d/ssl.conf

Debemos modificar la directiva por lo siguiente, que permite todos los protocolos excepto SSLv3 y SSLv2.

SSLProtocol all -SSLv3 -SSLv2

Una vez realizado, reiniciamos Apache:

# service httpd restart

En Debian y Ubuntu el archivo de configuración ssl.conf se encuentra en una ruta distinta:

/etc/apache2/mods-available/ssl.conf
# service apache2 restart

Deshabilitar SSLv3 en Nginx

En Nginx SSLv3 también está habilitado por defecto.

Debemos modificar la directiva ssl_protocols del archivo de configuración nginx.conf, esta directiva especificará los distintos protocolos permitidos en el bloque http { }:

ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;

Si quitamos la versión 3 quedaría la siguiente configuración:

ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;

Una vez modificado recargamos la configuración de nginx:

# nginx -s reload

Deshabilitar SSLv3 en Lighttpd

En Lighttpd editamos el archivo de configuración:

/etc/lighttpd/lighttpd.conf

Y deshabilitamos SSLv3 y SSLv2:

ssl.use-sslv2 = "disable"
ssl.use-sslv3 = "disable"

Y reiniciamos el servicio:

# service lighttpd restart