OpenSSL hat gerade eine weitere neue Sicherheitslücke in seinen Speicherroutinen angekündigt. Sie können alles darüber hier lesen: https://www.openssl.org/news/secadv_20141015.txt
Die Problemumgehung besteht darin, SSLv3 zu deaktivieren.
- Wird dies HTTPS auf unserer Website vollständig deaktivieren?
- Welche Kunden, die sich noch auf SSLv3 verlassen, sollten sich Sorgen machen, sie zu unterstützen?
ssl
openssl
vulnerabilities
Oxon
quelle
quelle
Antworten:
Nein, die HTTPS-Konnektivität zu Ihrer Website wird dadurch nicht unterbrochen. TLSv1 (und neuere Versionen, wenn Ihre Software aktuell genug ist) wird stattdessen bereits von fast allen Browsern verwendet (mit Ausnahme von IE6 unter Windows XP).
Stellen Sie in Ihrer Konfiguration sicher, dass TLSv1 aktiviert ist, dies ist jedoch standardmäßig in fast jeder serverseitigen SSL-Konfiguration der Fall.
quelle
Ja, Sie sollten SSLv3 deaktivieren. Pudel funktioniert, weil Browser versuchen, ältere Protokolle wie SSLv3 zu verwenden, wenn TLS fehlschlägt. Ein MITM kann dies missbrauchen (es sei denn, der neue TLS SCSV wird vom Client und Server unterstützt, die nur von Chrome unterstützt werden). Eine wirklich gute Beschreibung der Details des Pudelangriffs finden Sie unter: https://security.stackexchange.com/q/70719
SSLv3 ist in mehrfacher Hinsicht defekt. Der beste Weg, um das Problem zu lösen, besteht darin, es zu deaktivieren, da es vor 15 Jahren von TLS abgelöst wurde. Wenn Sie SSLv3 auf einer Website verwenden und sich nicht für IE6 unter XP interessieren (IE7 unter XP ist gut), sollten Sie es sicher deaktivieren können.
Die Möglichkeit, SSLv3 zu deaktivieren, wird in einer verwandten Frage erörtert: Pudel: Ist das Deaktivieren von SSL V3 auf dem Server wirklich eine Lösung?
Während Sie gerade dabei sind, möchten Sie möglicherweise einen Test auf Ihrer Website durchführen, um festzustellen, ob andere Probleme vorliegen : https://www.ssllabs.com/ssltest/
quelle