Devo disabilitare la compressione SSL a causa di CRIME?

21

Ho letto CRIMINE - Come battere il successore BEAST? e alcuni articoli sull'argomento ( collegato sotto) e non ha trovato raccomandazioni per gli amministratori di sistema.

Come host web, dovrei disabilitare la compressione SSL a causa di CRIME?

ThreatPost: il nuovo attacco utilizza le informazioni SSL / TLS Perdita per dirottare le sessioni HTTPS

ArsTechnica: crack nel fondamento di fiducia di Internet consente il dirottamento di sessione HTTPS

    
posta Daniel Serodio 14.09.2012 - 22:44
fonte

2 risposte

20

Sì, probabilmente dovresti disabilitare la compressione TLS sul server web, se usi SSL su un sito altamente sensibile alla sicurezza.

Per la maggior parte della tua base di utenti, questo non è strettamente necessario. Disattivare la compressione TLS nel server Web è utile solo per proteggere la piccola parte di utenti che eseguono browser più vecchi e vulnerabili. Gli unici browser che hanno mai supportato la compressione TLS erano Firefox e Chrome. IE, Safari, Opera non l'hanno mai supportato. Firefox e Chrome hanno disabilitato la compressione TLS nelle loro ultime versioni. Entrambi utilizzano gli aggiornamenti automatici, quindi la maggior parte degli utenti eseguirà l'aggiornamento a versioni con patch molto presto. Pertanto, la maggior parte degli utenti sarà già protetta, anche se non fai nulla.

Tuttavia, alcuni utenti potrebbero ancora utilizzare versioni di browser meno recenti che supportano la compressione TLS e pertanto sono vulnerabili. Ad esempio, Ivan Ristić stima che (a partire da settembre 2012) circa il 7% dei visitatori del suo sito Web stia utilizzando un browser più vecchio che supporta la compressione TLS ed è vulnerabile a CRIME. Mi aspetto che questo numero possa diminuire nel tempo. Ciononostante, c'è probabilmente qualche vantaggio nel disabilitare la compressione TLS nel tuo server: aiuta a proteggere quegli utenti dall'attacco CRIME.

Ringraziamenti a Andrey Botalov per il riferimento alle stime di Ivan Ristić sulla prevalenza dei browser vulnerabili.

Per i dettagli su come disabilitare la compressione SSL sul tuo server web, vedi questo post del blog di iSEC Partners .

    
risposta data 15.09.2012 - 09:54
fonte
6

Sì. Sì, dovresti.

If you're operating a web site, use the SSL Labs assessment tool to determine if your site supports TLS compression and SPDY (look for Compression and Next Protocol Support on the results page, towards the bottom). If you think the risk is too high, disable compression if your web software allows you to do it. (If they don't today, they will soon.)

(da Qualys )

    
risposta data 14.09.2012 - 22:49
fonte

Leggi altre domande sui tag