In risposta alla vulnerabilità di OpenSSL Poodle dovrei disabilitare SSLv3?


8

OpenSSL ha appena annunciato un'altra nuova vulnerabilità nelle sue routine di memoria. Puoi leggere tutto al riguardo qui: https://www.openssl.org/news/secadv_20141015.txt

La soluzione alternativa è disabilitare SSLv3.

  • Questo disabiliterà completamente HTTPS sul nostro sito Web?
  • Quali clienti si affidano ancora a SSLv3, dovrebbero preoccuparsi di supportarli?

3
No, altrimenti la gente non consiglierebbe di farlo. A meno che, ovviamente, l'unico protocollo che permetti sia SSLv3, ma sarebbe insolito.
gparent

2
Con le nuove modifiche, questa diventa una domanda perfettamente legittima per questo sito e non merita il voto negativo. La risposta di Shane Madden (con +5 voti attualmente) mostra quanto sia preziosa questa domanda. Un'altra possibile risposta spiegherebbe che HTTPS può utilizzare SSL e / o TLS e quali sono le differenze tra i due.
Stefan Lasiewski,

12
Perché questa domanda è un prossimo evento della comunità? = p
Overflow delle domande il

1
Considerando che HTTPS e SSL sono stati usati in modo intercambiabile per anni nelle discussioni tecniche e nei file di configurazione, molti amministratori, compresi quelli con "una comprensione minima del problema da risolvere", potrebbero avere la stessa domanda. Ancora una volta, questa domanda è legittima dopo la modifica e dovrebbe essere riaperta.
Stefan Lasiewski,

Risposte:


21

No, non interromperà la connettività HTTPS al tuo sito Web; TLSv1 (e versioni più recenti, se il tuo software è abbastanza recente) è già utilizzato invece da quasi tutti i browser (con la notevole eccezione di IE6 su Windows XP).

Verificare nella propria configurazione che TLSv1 sia abilitato, ma è per impostazione predefinita in quasi tutte le configurazioni SSL lato server.


Inoltre, alcuni client della riga di comando meno recenti e dispositivi meno recenti potrebbero supportare solo SSLv3.
Stefan Lasiewski,

1
Simulando un errore nella negoziazione TLS, questi browser possono essere costretti a fallback su SSLv3. Questo è il motivo per cui dovresti disabilitare SSLv3 sul lato server e perché i principali browser si stanno mescolando per disabilitare il lato client SSLv3 nei prossimi aggiornamenti. Se sei assolutamente sicuro di dover supportare quelle vecchie appliance, c'è una soluzione: serverfault.com/q/637848/249649
cypres

1
@cypres Penso che il cambiamento nel titolo della domanda dalla modifica ti abbia buttato via - il "No" è in risposta alla domanda del titolo originale , che è stata spostata nel corpo, di "Questo disabiliterà completamente HTTPS sul nostro sito web?" Ho modificato per chiarirlo.
Shane Madden,

6

Sì, è necessario disabilitare SSLv3. Poodle funziona perché i browser tenteranno di utilizzare protocolli più vecchi come SSLv3 se TLS fallisce. Un MITM può abusare di questo (a meno che il nuovo TLS SCSV non sia supportato dal client e dal server, che solo Chrome supporta atm.). Per un ottimo commento sui dettagli dell'attacco Poodle consultare: https://security.stackexchange.com/q/70719

SSLv3 è rotto in diversi modi e il modo migliore per affrontare il problema è disabilitarlo, poiché è stato sostituito da TLS 15 anni fa. Se stai usando SSLv3 su un sito Web e non ti interessa IE6 su XP (IE7 su XP è buono), dovresti essere sicuro di disabilitarlo.

La fattibilità della disabilitazione di SSLv3 è in discussione su una domanda correlata: Barboncino: Disabilitare SSL V3 sul server è davvero una soluzione?

Mentre ci sei, potresti voler eseguire un test sul tuo sito per vedere se ci sono altri problemi: https://www.ssllabs.com/ssltest/


Potresti essere più specifico su come la risposta di Shane sia errata? Grazie!
Chris S,

@ Chris, ho frainteso Shane. Ha pensato che se hai TLS abilitato sei bravo e non hai bisogno di disabilitare SSLv3. La sua risposta dopo la modifica ora afferma che la disabilitazione di SSLv3 non distruggerà il tuo sito Web, il che è corretto. Ma lasciandolo abilitato, indipendentemente dal supporto TLS non risolverà neanche Poodle. Ho modificato il mio per renderlo più chiaro.
cypres,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.