Em resposta à vulnerabilidade do OpenSSL Poodle, devo desativar o SSLv3?

8

O OpenSSL acaba de anunciar outra nova vulnerabilidade em suas rotinas de memória. Você pode ler tudo sobre isso aqui: https://www.openssl.org/news/secadv_20141015.txt

A solução alternativa é desativar o SSLv3.

  • Isso desativará completamente o HTTPS em nosso site?
  • Quais clientes ainda dependem do SSLv3 devem se preocupar em dar suporte a eles?
ssl  openssl  vulnerabilities 
Oxon
fonte
3
Não, caso contrário, as pessoas não sugeririam fazer isso. A menos, é claro, que o único protocolo permitido seja o SSLv3, mas isso seria incomum.
gparent
2
Com as novas edições, isso se torna uma pergunta perfeitamente legítima para este site e não merece a votação antecipada. A resposta de Shane Madden (com +5 votos atualmente) mostra o quanto essa pergunta é valiosa. Outra resposta possível explicaria que o HTTPS pode usar SSL e / ou TLS e quais são as diferenças entre os dois.
esperando
12
Por que essa pergunta é um próximo evento da comunidade? = p
Estouro de perguntas
1
Considerando que HTTPS e SSL são usados ​​de maneira intercambiável há anos em discussões técnicas e em arquivos de configuração, muitos administradores, incluindo aqueles com "um entendimento mínimo do problema que está sendo resolvido", podem ter a mesma pergunta. Novamente, essa pergunta é legítima após a edição e deve ser reaberta.
Stefan Lasiewski
1
Raedwald

Respostas:

21

Não, isso não interromperá a conectividade HTTPS ao seu site; O TLSv1 (e versões mais recentes, se o seu software for recente o suficiente) já está sendo usado por quase todos os navegadores (com a notável exceção do IE6 no Windows XP).

Verifique na sua configuração que o TLSv1 está ativado, mas está por padrão em quase todas as configurações SSL do servidor.

Shane Madden
fonte
Além disso, alguns clientes mais antigos de linha de comando e dispositivos mais antigos podem suportar apenas SSLv3.
Stefan Lasiewski
1
Simulando uma falha na negociação do TLS, esses navegadores podem ser forçados a usar o SSLv3. É por isso que você deve desativar o SSLv3 do lado do servidor e por que os principais navegadores estão se esforçando para desativar o SSLv3 do lado do cliente nas próximas atualizações. Se você está totalmente certo de que você precisa para apoiar os aparelhos antigos, há uma mitigação: serverfault.com/q/637848/249649
cypres
1
@cypres Acho que a alteração no título da pergunta a partir da edição deixou você de fora - o "Não" é uma resposta à pergunta do título original , que foi movida para o corpo, de "Isso desativará completamente o HTTPS em nosso site?" Eu editei para deixar isso claro.
Shane Madden
6

Sim, você deve desativar o SSLv3. O Poodle funciona porque os navegadores tentarão usar protocolos mais antigos, como o SSLv3, se o TLS falhar. Um MITM pode abusar disso (a menos que o novo TLS SCSV seja suportado pelo cliente e pelo servidor, que apenas o Chrome suporta atm.). Para uma descrição realmente boa dos detalhes do ataque do Poodle, consulte: https://security.stackexchange.com/q/70719

O SSLv3 está quebrado de várias maneiras , e a melhor maneira de lidar com o problema é desabilitá-lo, pois foi substituído pelo TLS há 15 anos. Se você estiver usando SSLv3 em um site e não se importa com o IE6 no XP (o IE7 no XP é bom), você deve estar seguro para desativá-lo.

A viabilidade de desativar o SSLv3 está sendo discutida em uma questão relacionada: Poodle: A desativação do SSL V3 no servidor é realmente uma solução?

Enquanto você estiver nisso, convém executar um teste em seu site para verificar se há outros problemas: https://www.ssllabs.com/ssltest/

cypres
fonte
Você poderia ser mais específico sobre como a resposta de Shane está incorreta? Obrigado!
Chris S
@ Chris, eu não entendi Shane. Ele disse que se você tiver o TLS ativado, é bom e não precisa desativar o SSLv3. Sua resposta após a edição agora afirma que a desativação do SSLv3 não interromperá o seu site, o que está correto. Mas, deixando-o ativado, independentemente do suporte ao TLS, também não será possível corrigir o Poodle. Eu editei o meu para torná-lo mais claro.
Cyprès
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.