Để đối phó với lỗ hổng OpenSSL Poodle, tôi có nên tắt SSLv3 không?

OpenSSL vừa công bố một lỗ hổng mới khác trong thói quen bộ nhớ của nó. Bạn có thể đọc tất cả về nó ở đây: https://www.openssl.org/news/secadv_20141015.txt

Cách giải quyết là vô hiệu hóa SSLv3.

Điều này sẽ vô hiệu hóa hoàn toàn HTTPS trên trang web của chúng tôi?
Những gì khách hàng vẫn dựa vào SSLv3, nên quan tâm đến việc hỗ trợ họ?

ssl openssl vulnerabilities

— Oxon
nguồn

Không, nếu không mọi người sẽ không đề nghị làm điều đó. Tất nhiên trừ khi, giao thức duy nhất bạn cho phép là SSLv3, nhưng điều đó sẽ không phổ biến.

— gparent

Với các chỉnh sửa mới, đây trở thành một câu hỏi hoàn toàn chính đáng cho trang web này và không xứng đáng để bỏ phiếu. Câu trả lời của Shane Madden (với hơn 5 phiếu hiện tại) cho thấy câu hỏi này có giá trị như thế nào. Một câu trả lời khả dĩ khác sẽ giải thích rằng HTTPS có thể sử dụng SSL và / hoặc TLS, và sự khác biệt giữa hai loại này là gì.

— Stefan Lasiewski

Tại sao câu hỏi này là một sự kiện cộng đồng sắp tới? = p

— Câu hỏi tràn

Xét rằng HTTPS & SSL đã được sử dụng thay thế cho nhau trong nhiều năm trong các cuộc thảo luận kỹ thuật và trong các tệp cấu hình, nhiều quản trị viên, bao gồm cả những người có "hiểu biết tối thiểu về vấn đề đang được giải quyết", có thể có cùng một câu hỏi. Một lần nữa, câu hỏi này là hợp pháp sau khi chỉnh sửa và nên được mở lại.

— Stefan Lasiewski

SSLv3 bị phá vỡ toàn diện

— Raedwald

Câu trả lời:

Không, nó sẽ không phá vỡ kết nối HTTPS đến trang web của bạn; TLSv1 (và các phiên bản mới hơn, nếu phần mềm của bạn đủ gần đây) đã được sử dụng thay thế bởi hầu hết tất cả các trình duyệt (ngoại trừ đáng chú ý là IE6 trên Windows XP).

Xác minh trong cấu hình của bạn rằng TLSv1 đã được bật, nhưng theo mặc định trong hầu hết mọi cấu hình SSL phía máy chủ.

— Shane Madden
nguồn

Ngoài ra, một số máy khách dòng lệnh cũ & thiết bị cũ hơn chỉ có thể hỗ trợ SSLv3.

— Stefan Lasiewski

Bằng cách mô phỏng một thất bại trong đàm phán TLS, các trình duyệt đó có thể bị buộc phải chuyển sang SSLv3. Đây là lý do tại sao bạn nên vô hiệu hóa phía máy chủ SSLv3 và tại sao các trình duyệt chính đang tranh giành để vô hiệu hóa phía máy khách SSLv3 trong các bản cập nhật tiếp theo. Nếu bạn hoàn toàn chắc chắn rằng bạn cần hỗ trợ các thiết bị cũ đó, có một sự giảm thiểu: serverfault.com/q/637848/249649

— cypres

@cypres Tôi nghĩ rằng sự thay đổi trong tiêu đề câu hỏi từ bản chỉnh sửa đã loại bỏ bạn - "Không" là để trả lời cho câu hỏi tiêu đề ban đầu , đã được chuyển sang phần thân, "Điều này có vô hiệu hóa hoàn toàn HTTPS trên trang web của chúng tôi không?" Tôi đã chỉnh sửa để làm rõ điều đó.

— Shane Madden

Có, bạn nên tắt SSLv3. Poodle hoạt động vì các trình duyệt sẽ cố gắng sử dụng các giao thức cũ hơn như SSLv3 nếu TLS không thành công. MITM có thể lạm dụng điều này (trừ khi TLS SCSV mới được máy khách và máy chủ hỗ trợ, chỉ Chrome hỗ trợ atm.). Để có một bài viết thực sự tốt về các chi tiết của cuộc tấn công Poodle, hãy xem: https://security.stackexchange.com/q/70719

SSLv3 bị hỏng theo nhiều cách và cách tốt nhất để giải quyết vấn đề là vô hiệu hóa nó, vì nó đã được thay thế bởi TLS 15 năm trước. Nếu bạn đang sử dụng SSLv3 trên một trang web và bạn không quan tâm đến IE6 trên XP (IE7 trên XP là tốt), bạn nên an toàn để vô hiệu hóa nó.

Khả năng vô hiệu hóa SSLv3 đang được thảo luận về một câu hỏi liên quan: Poodle: Việc vô hiệu hóa SSL V3 trên máy chủ có thực sự là một giải pháp không?

Trong khi bạn đang ở đó, bạn có thể muốn chạy thử nghiệm trên trang web của mình để xem liệu có bất kỳ vấn đề nào khác không: https://www.ssllabs.com/ssltest/

— cypres
nguồn

Bạn có thể cụ thể hơn về cách trả lời của Shane không chính xác? Cảm ơn!

— Chris S

@ChrisS, tôi hiểu lầm Shane. Nghĩ rằng anh ta nói rằng nếu bạn kích hoạt TLS thì bạn vẫn ổn và không cần phải tắt SSLv3. Câu trả lời của anh ấy sau khi chỉnh sửa bây giờ nói rằng việc vô hiệu hóa SSLv3 sẽ không phá vỡ trang web của bạn, điều này là chính xác. Nhưng để nó được kích hoạt, bất kể hỗ trợ TLS cũng sẽ không sửa Poodle. Tôi đã chỉnh sửa của tôi để làm cho nó rõ ràng hơn.

— cypres