En respuesta a la vulnerabilidad de OpenSSL Poodle, ¿debo desactivar SSLv3?

8

OpenSSL acaba de anunciar otra nueva vulnerabilidad en sus rutinas de memoria. Puede leer todo sobre esto aquí: https://www.openssl.org/news/secadv_20141015.txt

La solución es deshabilitar SSLv3.

  • ¿Esto deshabilitará HTTPS en nuestro sitio web por completo?
  • ¿Qué clientes confían en SSLv3 todavía, deberían preocuparse por apoyarlos?
Oxon
fuente
3
No, de lo contrario la gente no sugeriría hacerlo. A menos que, por supuesto, el único protocolo que permita sea SSLv3, pero eso sería poco común.
gparent
2
Con las nuevas ediciones, esta se convierte en una pregunta perfectamente legítima para este sitio y no merece la votación negativa. La respuesta de Shane Madden (con +5 votos actualmente) muestra cuán valiosa es esta pregunta. Otra posible respuesta explicaría que HTTPS puede usar SSL y / o TLS, y cuáles son las diferencias entre los dos.
Stefan Lasiewski
12
¿Por qué esta pregunta es un evento comunitario próximo? = p
Desbordamiento de preguntas
1
Teniendo en cuenta que HTTPS y SSL se han utilizado indistintamente durante años en discusiones técnicas y en archivos de configuración, muchos administradores, incluidos aquellos con "una comprensión mínima del problema que se está resolviendo", podrían tener la misma pregunta. Una vez más, esta pregunta es legítima después de la edición y debe volver a abrirse.
Stefan Lasiewski

Respuestas:

21

No, no interrumpirá la conectividad HTTPS a su sitio web; TLSv1 (y versiones más recientes, si su software es lo suficientemente reciente) ya está siendo utilizado por casi todos los navegadores (con la notable excepción de IE6 en Windows XP).

Verifique en su configuración que TLSv1 esté habilitado, pero está predeterminado en casi todas las configuraciones SSL del lado del servidor.

Shane Madden
fuente
Además, algunos clientes de línea de comandos y dispositivos más antiguos solo pueden ser compatibles con SSLv3.
Stefan Lasiewski
1
Al simular una falla en la negociación de TLS, esos navegadores pueden verse obligados a recurrir a SSLv3. Es por eso que debe deshabilitar SSLv3 en el lado del servidor, y por qué los principales navegadores están luchando para deshabilitar SSLv3 en el lado del cliente en las próximas actualizaciones. Si no está totalmente seguro de lo que necesita para apoyar a los aparatos viejos, hay una mitigación: serverfault.com/q/637848/249649
cypres
1
@cypres Creo que el cambio en el título de la pregunta de la edición lo rechazó: el "No" responde a la pregunta original del título , que se ha movido al cuerpo, de "¿Deshabilitará HTTPS en nuestro sitio web por completo?" He editado para dejar eso claro.
Shane Madden
6

Sí, debe deshabilitar SSLv3. Poodle funciona porque los navegadores intentarán usar protocolos más antiguos como SSLv3 si falla TLS. Un MITM puede abusar de esto (a menos que el nuevo cliente TLS SCSV sea compatible con el cliente y el servidor, que solo Chrome admite atm). Para una muy buena redacción sobre los detalles del ataque de Poodle, consulte: https://security.stackexchange.com/q/70719

SSLv3 se rompe de varias maneras , y la mejor manera de lidiar con el problema es deshabilitarlo, ya que fue reemplazado por TLS hace 15 años. Si está utilizando SSLv3 en un sitio web y no le importa IE6 en XP (IE7 en XP es bueno), debe estar seguro de deshabilitarlo.

La viabilidad de deshabilitar SSLv3 se está discutiendo en una pregunta relacionada: Caniche: ¿Deshabilitar SSL V3 en el servidor es realmente una solución?

Mientras lo hace, es posible que desee ejecutar una prueba en su sitio para ver si hay algún otro problema: https://www.ssllabs.com/ssltest/

cipreses
fuente
¿Podría ser más específico en cuanto a cómo la respuesta de Shane es incorrecta? ¡Gracias!
Chris S
@ Chriss, entendí mal a Shane. Pensé que dijo que si tienes TLS habilitado, eres bueno y no necesitas deshabilitar SSLv3. Su respuesta después de la edición ahora dice que deshabilitar SSLv3 no dañará su sitio web, lo cual es correcto. Pero dejarlo habilitado, independientemente del soporte TLS, tampoco arreglará Poodle. He editado el mío para que quede más claro.
cypres