Sollte ich als Reaktion auf die OpenSSL Poodle-Sicherheitsanfälligkeit SSLv3 deaktivieren?

8

OpenSSL hat gerade eine weitere neue Sicherheitslücke in seinen Speicherroutinen angekündigt. Sie können alles darüber hier lesen: https://www.openssl.org/news/secadv_20141015.txt

Die Problemumgehung besteht darin, SSLv3 zu deaktivieren.

  • Wird dies HTTPS auf unserer Website vollständig deaktivieren?
  • Welche Kunden, die sich noch auf SSLv3 verlassen, sollten sich Sorgen machen, sie zu unterstützen?
ssl openssl vulnerabilities Oxon
quelle
3
Nein, sonst würden die Leute nicht vorschlagen, es zu tun. Es sei denn, das einzige Protokoll, das Sie zulassen, ist SSLv3, aber das wäre ungewöhnlich.
Eltern
2
Mit den neuen Änderungen wird dies zu einer absolut legitimen Frage für diese Site und verdient keine Abwertung. Die Antwort von Shane Madden (derzeit mit +5 Stimmen) zeigt, wie wertvoll diese Frage ist. Eine andere mögliche Antwort würde erklären, dass HTTPS möglicherweise SSL und / oder TLS verwendet, und was sind die Unterschiede zwischen den beiden.
Stefan Lasiewski
12
Warum ist diese Frage eine bevorstehende Gemeinschaftsveranstaltung? = p
Fragenüberlauf
1
In Anbetracht der Tatsache, dass HTTPS und SSL in technischen Diskussionen und Konfigurationsdateien seit Jahren synonym verwendet werden, könnten viele Administratoren, einschließlich solcher mit "minimalem Verständnis des zu lösenden Problems", dieselbe Frage haben. Auch diese Frage ist nach der Bearbeitung legitim und sollte erneut geöffnet werden.
Stefan Lasiewski
1
SSLv3 ist umfassend kaputt
Raedwald

Antworten:

21

Nein, die HTTPS-Konnektivität zu Ihrer Website wird dadurch nicht unterbrochen. TLSv1 (und neuere Versionen, wenn Ihre Software aktuell genug ist) wird stattdessen bereits von fast allen Browsern verwendet (mit Ausnahme von IE6 unter Windows XP).

Stellen Sie in Ihrer Konfiguration sicher, dass TLSv1 aktiviert ist, dies ist jedoch standardmäßig in fast jeder serverseitigen SSL-Konfiguration der Fall.

Shane Madden
quelle
Darüber hinaus unterstützen einige ältere Befehlszeilenclients und ältere Appliances möglicherweise nur SSLv3.
Stefan Lasiewski
1
Durch die Simulation eines Fehlers bei der TLS-Aushandlung können diese Browser gezwungen werden, auf SSLv3 zurückzugreifen. Aus diesem Grund sollten Sie die SSLv3-Serverseite deaktivieren und die Hauptbrowser versuchen, die SSLv3-Clientseite in den nächsten Updates zu deaktivieren. Wenn Sie absolut sicher sind, dass Sie diese alten Appliances unterstützen müssen, gibt es eine Minderung: serverfault.com/q/637848/249649
cypres
1
@cypres Ich denke, die Änderung des Fragentitels durch die Bearbeitung hat Sie umgehauen - das "Nein" ist eine Antwort auf die ursprüngliche Titelfrage, die in den Text verschoben wurde: "Wird dies HTTPS auf unserer Website vollständig deaktivieren?" Ich habe bearbeitet, um das klar zu machen.
Shane Madden
6

Ja, Sie sollten SSLv3 deaktivieren. Pudel funktioniert, weil Browser versuchen, ältere Protokolle wie SSLv3 zu verwenden, wenn TLS fehlschlägt. Ein MITM kann dies missbrauchen (es sei denn, der neue TLS SCSV wird vom Client und Server unterstützt, die nur von Chrome unterstützt werden). Eine wirklich gute Beschreibung der Details des Pudelangriffs finden Sie unter: https://security.stackexchange.com/q/70719

SSLv3 ist in mehrfacher Hinsicht defekt. Der beste Weg, um das Problem zu lösen, besteht darin, es zu deaktivieren, da es vor 15 Jahren von TLS abgelöst wurde. Wenn Sie SSLv3 auf einer Website verwenden und sich nicht für IE6 unter XP interessieren (IE7 unter XP ist gut), sollten Sie es sicher deaktivieren können.

Die Möglichkeit, SSLv3 zu deaktivieren, wird in einer verwandten Frage erörtert: Pudel: Ist das Deaktivieren von SSL V3 auf dem Server wirklich eine Lösung?

Während Sie gerade dabei sind, möchten Sie möglicherweise einen Test auf Ihrer Website durchführen, um festzustellen, ob andere Probleme vorliegen : https://www.ssllabs.com/ssltest/

Zypres
quelle
Könnten Sie genauer sagen, wie die Antwort von Shane falsch ist? Vielen Dank!
Chris S
@ ChrisS, ich habe Shane falsch verstanden. Dachte, er sagte, wenn Sie TLS aktiviert haben, sind Sie gut und müssen SSLv3 nicht deaktivieren. Seine Antwort nach der Bearbeitung besagt nun, dass das Deaktivieren von SSLv3 Ihre Website nicht beschädigt, was korrekt ist. Wenn Sie es jedoch aktiviert lassen, wird Pudel unabhängig von der TLS-Unterstützung auch nicht repariert. Ich habe meine bearbeitet, um es klarer zu machen.
Cypres