В ответ на уязвимость OpenSSL Poodle я должен отключить SSLv3?

8

OpenSSL только что объявил еще одну новую уязвимость в своих подпрограммах памяти. Вы можете прочитать все об этом здесь: https://www.openssl.org/news/secadv_20141015.txt

Обходной путь должен отключить SSLv3.

  • Будет ли это полностью отключить HTTPS на нашем сайте?
  • Какие клиенты по-прежнему полагаются на SSLv3, следует ли заботиться о их поддержке?
Oxon
источник
3
Нет, иначе люди не предложили бы это сделать. Если, конечно, единственный протокол, который вы разрешаете, это SSLv3, но это было бы редко.
gparent
2
С новыми изменениями это становится совершенно законным вопросом для этого сайта и не заслуживает повторного голосования. Ответ Шейна Мэддена (набравший +5 голосов) показывает, насколько ценен этот вопрос. Другой возможный ответ объяснил бы, что HTTPS может использовать SSL и / или TLS, и каковы различия между ними.
Стефан Ласевский
12
Почему этот вопрос является предстоящим событием сообщества? = p
Вопрос переполнен
1
Учитывая, что HTTPS и SSL использовались взаимозаменяемо в течение многих лет в технических дискуссиях и в файлах конфигурации, многие администраторы, в том числе те, кто «имел минимальное понимание решаемой проблемы», могли иметь один и тот же вопрос. Опять же, этот вопрос является законным после редактирования и должен быть вновь открыт.
Стефан Ласевский
1
SSLv3 полностью
сломан

Ответы:

21

Нет, это не нарушит HTTPS-соединение с вашим сайтом; TLSv1 (и более новые версии, если ваше программное обеспечение достаточно свежо) уже используется вместо этого почти всеми браузерами (за исключением заметного IE6 в Windows XP).

Проверьте в своей конфигурации, что TLSv1 включен, но это по умолчанию почти в каждой конфигурации SSL на стороне сервера.

Шейн Мэдден
источник
Кроме того, некоторые старые клиенты командной строки и старые устройства могут поддерживать только SSLv3.
Стефан Ласевский
1
Имитируя сбой в согласовании TLS, эти браузеры могут быть вынуждены откатиться до SSLv3. Вот почему вы должны отключить SSLv3 на стороне сервера, и поэтому основные браузеры пытаются отключить SSLv3 на стороне клиента в следующих обновлениях. Если вы абсолютно уверены, что вам необходимо поддерживать эти старые устройства, есть меры
cypres
1
@cypres Я думаю, что изменение заголовка вопроса от редактирования выбило вас из колеи - «Нет» - это ответ на исходный вопрос заголовка , который был перемещен в текст сообщения «Будет ли это полностью отключить HTTPS на нашем сайте?» Я отредактировал, чтобы прояснить это.
Шейн Мэдден
6

Да, вы должны отключить SSLv3. Poodle работает, потому что браузеры будут пытаться использовать старые протоколы, такие как SSLv3, в случае сбоя TLS. MITM может злоупотреблять этим (если только клиент и сервер не поддерживают новый TLS SCSV, который поддерживается только в Chrome.). Для действительно хорошей рецензии на детали атаки Poodle см .: https://security.stackexchange.com/q/70719

SSLv3 нарушается несколькими способами , и лучший способ решить эту проблему - это отключить его, поскольку он был заменен TLS 15 лет назад. Если вы используете SSLv3 на веб-сайте и вас не волнует IE6 в XP (IE7 в XP - это хорошо), вы можете безопасно отключить его.

Жизнеспособность отключения SSLv3 обсуждается по смежному вопросу: Poodle: действительно ли отключение SSL V3 на сервере является решением?

Пока вы на нем, вы можете запустить тест на своем сайте, чтобы увидеть, есть ли другие проблемы: https://www.ssllabs.com/ssltest/

близко к этому
источник
Не могли бы вы быть более точным в отношении того, как ответ Шейна неверен? Спасибо!
Крис С
@ChrisS, я неправильно понял Шейна. Он подумал, что если у вас включен TLS, у вас все хорошо, и вам не нужно отключать SSLv3. Его ответ после редактирования теперь гласит, что отключение SSLv3 не сломает ваш сайт, что правильно. Но если оставить его включенным, независимо от поддержки TLS, Poodle тоже не исправит. Я отредактировал мой, чтобы сделать его более понятным.
cypres