SSLv3 está quebrado
Com o advento do POODLE, todos os pacotes de criptografia usados pelo SSLv3 foram comprometidos, e o protocolo deve ser considerado irreparavelmente quebrado.
Websites
Você pode verificar se seu site está disponível em SSLv3 com curl(1) :
curl -v -3 -X HEAD https://www.example.com
O argumento -v ativa a saída detalhada, -3 força a curva para usar SSLv3 e a -X HEAD limita a saída em uma conexão bem-sucedida.
Se você não estiver vulnerável, não poderá conectar-se e sua saída deverá se parecer com isso:
* SSL peer handshake failed, the server most likely requires a client certificate to connect
Se você estiver vulnerável, verá a saída de conexão normal, incluindo a linha:
* SSL 3.0 connection using SSL_NULL_WITH_NULL_NULL
Outros serviços
Não são apenas sites disponíveis por SSL. Mail, irc e LDAP são três exemplos de serviços disponíveis por meio de conexões seguras e são igualmente vulneráveis a POODLE quando aceitam conexões SSLv3.
Para se conectar a um serviço usando SSLv3, você pode usar o openssl(1) s_client(1) :
openssl s_client -connect imap.example.com:993 -ssl3 < /dev/null
O argumento -connect aceita um parâmetro hostname:port , o argumento -ssl3 limita as versões do protocolo negociadas para SSLv3 e o encadeamento em /dev/null to STDIN encerra imediatamente a conexão depois de abri-la.
Se você se conectar com sucesso, o SSLv3 estará habilitado; se você obtiver um ssl handshake failure , então não é.
Veja também
Há uma excelente pergunta e resposta sobre o Security SE: link