8 votos

En respuesta a OpenSSL Caniche vulnerabilidad debo deshabilitar SSLv3?

OpenSSL acaba de anunciar otra nueva vulnerabilidad en memoria de las rutinas. Usted puede leer todo acerca de ello aquí: https://www.openssl.org/news/secadv_20141015.txt

La solución es deshabilitar la SSLv3.

  • Se esta deshabilitar HTTPS en nuestro sitio web completamente?
  • Lo que los clientes confían en SSLv3 aún, debe estar preocupado por el apoyo de ellos?

21voto

Shane Madden Puntos 81409

No, no va a romper HTTPS conectividad a su sitio web; TLSv1 (y versiones más recientes, si su software es lo suficientemente reciente) ya está siendo utilizado por casi todos los navegadores (con la notable excepción de IE6 en Windows XP).

Compruebe en la configuración que TLSv1 está habilitado, pero está por defecto en casi todos del lado del servidor de configuración de SSL.

6voto

cypres Puntos 481

Sí, usted debe desactivar SSLv3. Caniche funciona porque los navegadores intentará utilizar los antiguos protocolos tales como SSLv3 si TLS falla. Un MITM puede abusar de esta (menos que el nuevo TLS SCSV es apoyado por el cliente y el servidor, que sólo Chrome es compatible con el atm.). De una muy buena valoración crítica sobre los detalles de la Caniche ataque consulte: http://security.stackexchange.com/q/70719

SSLv3 se rompe en varias formas, y la mejor manera de lidiar con el problema es desactivarlo, ya que fue reemplazado por TLS hace 15 años. Si usted está usando SSLv3 en un sitio web, y no se preocupan por IE6 en XP (IE7 en XP es bueno), usted debe ser seguro para desactivarlo.

La viabilidad de la desactivación de SSLv3 está siendo discutido en una pregunta relacionada: Caniche: Es deshabilitar SSL V3 en el servidor realmente una solución?

Mientras que usted está en él, es posible que desee ejecutar una prueba en su sitio para ver si hay otros problemas: https://www.ssllabs.com/ssltest/

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: