OpenSSL baru saja mengumumkan kerentanan baru dalam rutinitas memori itu. Anda dapat membaca semuanya di sini: https://www.openssl.org/news/secadv_20141015.txt
Solusinya adalah untuk menonaktifkan SSLv3.
- Apakah ini akan menonaktifkan HTTPS di situs web kami sepenuhnya?
- Klien apa yang masih mengandalkan SSLv3, harus khawatir tentang mendukung mereka?
ssl
openssl
vulnerabilities
Oxon
sumber
sumber
Jawaban:
Tidak, itu tidak akan merusak konektivitas HTTPS ke situs web Anda; TLSv1 (dan versi yang lebih baru, jika perangkat lunak Anda cukup baru) telah digunakan sebagai gantinya oleh hampir semua browser (dengan pengecualian IE6 pada Windows XP).
Verifikasi di konfigurasi Anda bahwa TLSv1 diaktifkan, tetapi secara default di hampir setiap konfigurasi SSL sisi-server.
sumber
Ya, Anda harus menonaktifkan SSLv3. Poodle berfungsi karena browser akan mencoba menggunakan protokol yang lebih lama seperti SSLv3 jika TLS gagal. MITM dapat menyalahgunakan ini (, kecuali TLS SCSV baru didukung oleh klien dan server, yang hanya didukung Chrome atm.). Untuk artikel yang sangat bagus tentang detail serangan Poodle, lihat: https://security.stackexchange.com/q/70719
SSLv3 rusak dalam beberapa cara , dan cara terbaik untuk mengatasi masalah adalah dengan menonaktifkannya, karena digantikan oleh TLS 15 tahun yang lalu. Jika Anda menggunakan SSLv3 di situs web, dan Anda tidak peduli tentang IE6 di XP (IE7 di XP baik), Anda harus aman untuk menonaktifkannya.
Kelangsungan menonaktifkan SSLv3 sedang dibahas pada pertanyaan terkait: Poodle: Apakah menonaktifkan SSL V3 di server benar-benar solusi?
Saat Anda melakukannya, Anda mungkin ingin menjalankan tes di situs Anda untuk melihat apakah ada masalah lain: https://www.ssllabs.com/ssltest/
sumber