Menanggapi kerentanan OpenSSL Poodle, haruskah saya menonaktifkan SSLv3?

8

OpenSSL baru saja mengumumkan kerentanan baru dalam rutinitas memori itu. Anda dapat membaca semuanya di sini: https://www.openssl.org/news/secadv_20141015.txt

Solusinya adalah untuk menonaktifkan SSLv3.

  • Apakah ini akan menonaktifkan HTTPS di situs web kami sepenuhnya?
  • Klien apa yang masih mengandalkan SSLv3, harus khawatir tentang mendukung mereka?
Oxon
sumber
3
Tidak, kalau tidak, orang tidak akan menyarankan untuk melakukannya. Kecuali, tentu saja, satu-satunya protokol yang Anda izinkan adalah SSLv3, tetapi itu tidak biasa.
gparent
2
Dengan pengeditan baru, ini menjadi pertanyaan sah yang sempurna untuk situs ini dan tidak layak untuk down-voting. Jawaban Shane Madden (Dengan +5 suara saat ini) menunjukkan betapa berharganya pertanyaan ini. Jawaban lain yang mungkin akan menjelaskan bahwa HTTPS dapat menggunakan SSL dan / atau TLS, dan apa perbedaan di antara keduanya.
Stefan Lasiewski
12
Mengapa pertanyaan ini merupakan acara komunitas yang akan datang? = p
Pertanyaan Overflow
1
Mempertimbangkan bahwa HTTPS & SSL telah digunakan secara bergantian selama bertahun-tahun dalam diskusi teknis dan dalam file konfigurasi, banyak admin, termasuk yang dengan "pemahaman minimal masalah yang sedang dipecahkan", dapat memiliki pertanyaan yang sama. Sekali lagi, pertanyaan ini sah setelah diedit dan harus dibuka kembali.
Stefan Lasiewski
1
SSLv3 Patah
Lengkap

Jawaban:

21

Tidak, itu tidak akan merusak konektivitas HTTPS ke situs web Anda; TLSv1 (dan versi yang lebih baru, jika perangkat lunak Anda cukup baru) telah digunakan sebagai gantinya oleh hampir semua browser (dengan pengecualian IE6 pada Windows XP).

Verifikasi di konfigurasi Anda bahwa TLSv1 diaktifkan, tetapi secara default di hampir setiap konfigurasi SSL sisi-server.

Shane Madden
sumber
Selain itu, beberapa klien commandline lama & peralatan lama mungkin hanya mendukung SSLv3.
Stefan Lasiewski
1
Dengan mensimulasikan kegagalan dalam negosiasi TLS, browser tersebut dapat dipaksa untuk mundur ke SSLv3. Inilah sebabnya mengapa Anda harus menonaktifkan sisi server SSLv3, dan mengapa browser utama berebut untuk menonaktifkan sisi klien SSLv3 di pembaruan berikutnya. Jika Anda benar-benar yakin perlu mendukung peralatan lama itu, ada mitigasi: serverfault.com/q/637848/249649
cypres
1
@cypres Saya pikir perubahan judul pertanyaan dari suntingan membuat Anda kecewa - "Tidak" adalah jawaban atas pertanyaan judul asli , yang telah dipindahkan ke badan, dari "Apakah ini menonaktifkan HTTPS di situs web kami sepenuhnya?" Saya telah mengedit untuk memperjelasnya.
Shane Madden
6

Ya, Anda harus menonaktifkan SSLv3. Poodle berfungsi karena browser akan mencoba menggunakan protokol yang lebih lama seperti SSLv3 jika TLS gagal. MITM dapat menyalahgunakan ini (, kecuali TLS SCSV baru didukung oleh klien dan server, yang hanya didukung Chrome atm.). Untuk artikel yang sangat bagus tentang detail serangan Poodle, lihat: https://security.stackexchange.com/q/70719

SSLv3 rusak dalam beberapa cara , dan cara terbaik untuk mengatasi masalah adalah dengan menonaktifkannya, karena digantikan oleh TLS 15 tahun yang lalu. Jika Anda menggunakan SSLv3 di situs web, dan Anda tidak peduli tentang IE6 di XP (IE7 di XP baik), Anda harus aman untuk menonaktifkannya.

Kelangsungan menonaktifkan SSLv3 sedang dibahas pada pertanyaan terkait: Poodle: Apakah menonaktifkan SSL V3 di server benar-benar solusi?

Saat Anda melakukannya, Anda mungkin ingin menjalankan tes di situs Anda untuk melihat apakah ada masalah lain: https://www.ssllabs.com/ssltest/

pohon cemara
sumber
Bisakah Anda lebih spesifik tentang bagaimana jawaban Shane salah? Terima kasih!
Chris S
@ Chris, saya salah paham Shane. Pikir dia mengatakan bahwa jika Anda mengaktifkan TLS Anda baik, dan tidak perlu menonaktifkan SSLv3. Jawabannya setelah diedit sekarang menyatakan bahwa menonaktifkan SSLv3 tidak akan merusak situs web Anda, yang benar. Tetapi membiarkannya tetap aktif, terlepas dari dukungan TLS tidak akan memperbaiki Poodle juga. Saya telah mengedit milik saya untuk membuatnya lebih jelas.
cypres