OpenSSL acaba de anunciar otra nueva vulnerabilidad en sus rutinas de memoria. Puede leer todo sobre esto aquí: https://www.openssl.org/news/secadv_20141015.txt
La solución es deshabilitar SSLv3.
- ¿Esto deshabilitará HTTPS en nuestro sitio web por completo?
- ¿Qué clientes confían en SSLv3 todavía, deberían preocuparse por apoyarlos?
ssl
openssl
vulnerabilities
Oxon
fuente
fuente
Respuestas:
No, no interrumpirá la conectividad HTTPS a su sitio web; TLSv1 (y versiones más recientes, si su software es lo suficientemente reciente) ya está siendo utilizado por casi todos los navegadores (con la notable excepción de IE6 en Windows XP).
Verifique en su configuración que TLSv1 esté habilitado, pero está predeterminado en casi todas las configuraciones SSL del lado del servidor.
fuente
Sí, debe deshabilitar SSLv3. Poodle funciona porque los navegadores intentarán usar protocolos más antiguos como SSLv3 si falla TLS. Un MITM puede abusar de esto (a menos que el nuevo cliente TLS SCSV sea compatible con el cliente y el servidor, que solo Chrome admite atm). Para una muy buena redacción sobre los detalles del ataque de Poodle, consulte: https://security.stackexchange.com/q/70719
SSLv3 se rompe de varias maneras , y la mejor manera de lidiar con el problema es deshabilitarlo, ya que fue reemplazado por TLS hace 15 años. Si está utilizando SSLv3 en un sitio web y no le importa IE6 en XP (IE7 en XP es bueno), debe estar seguro de deshabilitarlo.
La viabilidad de deshabilitar SSLv3 se está discutiendo en una pregunta relacionada: Caniche: ¿Deshabilitar SSL V3 en el servidor es realmente una solución?
Mientras lo hace, es posible que desee ejecutar una prueba en su sitio para ver si hay algún otro problema: https://www.ssllabs.com/ssltest/
fuente