OpenSSL только что объявил еще одну новую уязвимость в своих подпрограммах памяти. Вы можете прочитать все об этом здесь: https://www.openssl.org/news/secadv_20141015.txt
Обходной путь должен отключить SSLv3.
- Будет ли это полностью отключить HTTPS на нашем сайте?
- Какие клиенты по-прежнему полагаются на SSLv3, следует ли заботиться о их поддержке?
Ответы:
Нет, это не нарушит HTTPS-соединение с вашим сайтом; TLSv1 (и более новые версии, если ваше программное обеспечение достаточно свежо) уже используется вместо этого почти всеми браузерами (за исключением заметного IE6 в Windows XP).
Проверьте в своей конфигурации, что TLSv1 включен, но это по умолчанию почти в каждой конфигурации SSL на стороне сервера.
источник
Да, вы должны отключить SSLv3. Poodle работает, потому что браузеры будут пытаться использовать старые протоколы, такие как SSLv3, в случае сбоя TLS. MITM может злоупотреблять этим (если только клиент и сервер не поддерживают новый TLS SCSV, который поддерживается только в Chrome.). Для действительно хорошей рецензии на детали атаки Poodle см .: https://security.stackexchange.com/q/70719
SSLv3 нарушается несколькими способами , и лучший способ решить эту проблему - это отключить его, поскольку он был заменен TLS 15 лет назад. Если вы используете SSLv3 на веб-сайте и вас не волнует IE6 в XP (IE7 в XP - это хорошо), вы можете безопасно отключить его.
Жизнеспособность отключения SSLv3 обсуждается по смежному вопросу: Poodle: действительно ли отключение SSL V3 на сервере является решением?
Пока вы на нем, вы можете запустить тест на своем сайте, чтобы увидеть, есть ли другие проблемы: https://www.ssllabs.com/ssltest/
источник