Citi " Apache " e " browser " nella tua domanda, ma il titolo è più generale.
Come Evan e altri sottolineano, il problema è tutt'altro che risolto per HTTPS. Ma ci sono un certo numero di altri protocolli che un server potrebbe crittografare e il supporto TLS è molto più scarso tra quella base di client (come ho scoperto stamattina, quando si impone "no SSL3" su un server IMAP / S).
Quindi temo che la risposta sia " dipende dai servizi crittografati e dal supporto client per TLS tra la tua base di utenti ".
Modifica : sì, questo era il mio punto, anche se sono contento che tu sia d'accordo. La disattivazione di sslv3 viene eseguita in base al singolo servizio. Ad esempio, il modo per spegnerlo su dovecot è mettere
ssl_cipher_list = ALL:!LOW:!SSLv2:!SSLv3:!EXP:!aNULL
in dovecot.conf
. Il problema più grande è che mentre la maggior parte dei browser è tollerante alla perdita di sslv3, i client di altri servizi sembrano essere molto meno tolleranti. Stamattina ho interrotto circa la metà dei miei utenti quando l'ho disattivato su dovecot; I telefoni Android con K-9 e Outlook su Win7 sono due di cui sono sicuro, ma dai miei registri ce ne sono stati altri.
La disattivazione di SSLv3 non è ancora solo una soluzione valida, è l' unica soluzione; ma farà male.
Modifica 2 : grazie a dave_thompson_085 per aver sottolineato che la disabilitazione delle cifre SSLv3 in dovecot disabilita non solo il protocollo SSLv3, ma anche TLSv1.0 e TLSv1.1, poiché non hanno cifre che il protocollo precedente non ha. Dovecot (almeno, le versioni precedenti, che includono quella che sto eseguendo) sembra non avere la possibilità di configurare i protocolli piuttosto che i ciphersuites. Questo probabilmente spiega perché farlo ha rotto così tanti clienti.