Durante la disattivazione di SSLv3 dai nostri file ssl.conf
per superare la vulnerabilità di Barboncino, ho disabilitato anche i cifrari SSLv3 utilizzando !SSLv3
. Con le crittografie disabilitate, non siamo stati in grado di accedere al sito Web tramite Firefox e IE. Quello che segue è il messaggio di errore di Firefox:
An error occurred during a connection to xxxx.example.com.
Cannot communicate securely with peer: no common encryption algorithm(s).
(Error code: ssl_error_no_cypher_overlap)
Quindi siamo tornati indietro e abbiamo abilitato la crittografia SSLv3 e tutto ha funzionato correttamente. Al momento, il protocollo SSLv3 è disabilitato, ma i cifrari SSLv3 sono abilitati.
- Sto assumendo correttamente che abbiamo ottenuto l'errore con uno dei browser perché i codici TLS non erano disponibili nel browser?
- È possibile che il protocollo utilizzato sia TLSv3, ma le cifre sono di SSLv3?
SSLProtocol all -SSLv2 -SSLv3
#SSLProtocol -all +SSLv3
# SSL Cipher Suite:
# List the ciphers that the client is permitted to negotiate.
# See the mod_ssl documentation for a complete list.
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:!MEDIUM:!LOW
Possiamo aggiornare i browser nel nostro ufficio, ma non possiamo farlo sui computer dei nostri clienti. Il protocollo SSLv3 è disabilitato, ma con le crittografie abilitate all'impostazione consigliata? In altre parole, stiamo bene con la connessione tramite TLS con crittografie SSLv3?