En réponse à la vulnérabilité d'OpenSSL Poodle, dois-je désactiver SSLv3?

OpenSSL vient d'annoncer une autre nouvelle vulnérabilité dans ses routines de mémoire. Vous pouvez tout lire ici: https://www.openssl.org/news/secadv_20141015.txt

La solution consiste à désactiver SSLv3.

Cela désactivera-t-il complètement HTTPS sur notre site Web?
Quels clients comptent toujours sur SSLv3, devraient-ils se préoccuper de les soutenir?

ssl openssl vulnerabilities

— Oxon
source

Non, sinon les gens ne suggéreraient pas de le faire. À moins, bien sûr, que le seul protocole que vous autorisez soit SSLv3, mais ce serait rare.

— gparent

Avec les nouvelles modifications, cela devient une question parfaitement légitime pour ce site et ne mérite pas le vote négatif. La réponse de Shane Madden (avec +5 votes actuellement) montre à quel point cette question est précieuse. Une autre réponse possible expliquerait que HTTPS peut utiliser SSL et / ou TLS, et quelles sont les différences entre les deux.

— Stefan Lasiewski

Pourquoi cette question est-elle un événement communautaire à venir? = p

— Débordement de la question

Étant donné que HTTPS et SSL sont utilisés de manière interchangeable depuis des années dans les discussions techniques et dans les fichiers de configuration, de nombreux administrateurs, y compris ceux ayant "une compréhension minimale du problème résolu", pourraient avoir la même question. Encore une fois, cette question est légitime après l'édition et doit être rouverte.

— Stefan Lasiewski

SSLv3 est complètement rompu

— Raedwald

Réponses:

Non, cela ne rompra pas la connectivité HTTPS à votre site Web; TLSv1 (et les versions plus récentes, si votre logiciel est assez récent) est déjà utilisé à la place par presque tous les navigateurs (à l'exception notable d'IE6 sur Windows XP).

Vérifiez dans votre configuration que TLSv1 est activé, mais il l'est par défaut dans presque toutes les configurations SSL côté serveur.

— Shane Madden
source

De plus, certains anciens clients en ligne de commande et appareils plus anciens peuvent ne prendre en charge que SSLv3.

— Stefan Lasiewski

En simulant un échec dans la négociation TLS, ces navigateurs peuvent être forcés de recourir à SSLv3. C'est pourquoi vous devez désactiver SSLv3 côté serveur et pourquoi les principaux navigateurs s'efforcent de désactiver SSLv3 côté client dans les prochaines mises à jour. Si vous êtes tout à fait sûr que vous avez besoin de soutenir ces vieux appareils, il y a une atténuation: serverfault.com/q/637848/249649

— CYPRES

@cypres Je pense que le changement de titre de question par rapport à l'édition vous a déstabilisé - le "Non" est en réponse à la question de titre d'origine , qui a été déplacée dans le corps, de "Est-ce que cela désactivera complètement HTTPS sur notre site Web?" J'ai édité pour que ce soit clair.

— Shane Madden

Oui, vous devez désactiver SSLv3. Poodle fonctionne car les navigateurs tentent d'utiliser des protocoles plus anciens tels que SSLv3 en cas d'échec de TLS. Un MITM peut en abuser (, sauf si le nouveau TLS SCSV est pris en charge par le client et le serveur, que seul Chrome prend en charge atm.). Pour une très bonne description des détails de l'attaque Poodle, voir: https://security.stackexchange.com/q/70719

SSLv3 est rompu de plusieurs façons , et la meilleure façon de résoudre le problème est de le désactiver, car il a été remplacé par TLS il y a 15 ans. Si vous utilisez SSLv3 sur un site Web et que vous ne vous souciez pas d'IE6 sur XP (IE7 sur XP est bon), vous devriez être sûr de le désactiver.

La viabilité de la désactivation de SSLv3 est discutée sur une question connexe: Caniche: La désactivation de SSL V3 sur le serveur est-elle vraiment une solution?

Pendant que vous y êtes, vous voudrez peut-être exécuter un test sur votre site pour voir s'il y a d'autres problèmes: https://www.ssllabs.com/ssltest/

— cyprès
source

Pourriez-vous être plus précis sur la façon dont la réponse de Shane est incorrecte? Merci!

— Chris S

@ChrisS, j'ai mal compris Shane. Pensant qu'il a dit que si vous avez activé TLS, vous êtes bon et n'avez pas besoin de désactiver SSLv3. Sa réponse après la modification indique maintenant que la désactivation de SSLv3 ne cassera pas votre site Web, ce qui est correct. Mais le laisser activé, quel que soit le support TLS, ne résoudra pas non plus Poodle. J'ai édité le mien pour le rendre plus clair.

— cypres