Sì, probabilmente dovresti disabilitare la compressione TLS sul server web, se usi SSL su un sito altamente sensibile alla sicurezza.
Per la maggior parte della tua base di utenti, questo non è strettamente necessario. Disattivare la compressione TLS nel server Web è utile solo per proteggere la piccola parte di utenti che eseguono browser più vecchi e vulnerabili. Gli unici browser che hanno mai supportato la compressione TLS erano Firefox e Chrome. IE, Safari, Opera non l'hanno mai supportato. Firefox e Chrome hanno disabilitato la compressione TLS nelle loro ultime versioni. Entrambi utilizzano gli aggiornamenti automatici, quindi la maggior parte degli utenti eseguirà l'aggiornamento a versioni con patch molto presto. Pertanto, la maggior parte degli utenti sarà già protetta, anche se non fai nulla.
Tuttavia, alcuni utenti potrebbero ancora utilizzare versioni di browser meno recenti che supportano la compressione TLS e pertanto sono vulnerabili. Ad esempio, Ivan Ristić stima che (a partire da settembre 2012) circa il 7% dei visitatori del suo sito Web stia utilizzando un browser più vecchio che supporta la compressione TLS ed è vulnerabile a CRIME. Mi aspetto che questo numero possa diminuire nel tempo. Ciononostante, c'è probabilmente qualche vantaggio nel disabilitare la compressione TLS nel tuo server: aiuta a proteggere quegli utenti dall'attacco CRIME.
Ringraziamenti a Andrey Botalov per il riferimento alle stime di Ivan Ristić sulla prevalenza dei browser vulnerabili.
Per i dettagli su come disabilitare la compressione SSL sul tuo server web, vedi questo post del blog di iSEC Partners .