Nella mia applicazione server che utilizza OpenSSL, per impedire l'attacco barboncino, ho aggiunto un'opzione per consentire / impedire completamente il protocollo SSL3.
SSL_CTX_set_options(ctx, SSL_OP_NO_SSLv2); //Prevent SSLv2
SSL_CTX_set_options(ctx,SSL_OP_NO_SSLv3); // Prevent SSL3
Il permesso di SSL3 è stato fatto per interagire con quei client che non supportano TLS.
C'è un modo per essere immune all'attacco di POODLE con SSLv3. Disabilita suite di crittografia in modalità CBC in SSLv3.
Ora, se disattivo i cifrari in modalità CBC dalla mia applicazione, influisce anche su TLS (ne ho uno per una Server Interface). C'è un modo in cui posso disabilitare il cifrario in modalità CBC solo su connessioni SSL3 ma li uso per le connessioni TLS?
Modifica:
Di seguito viene illustrato brevemente come caricare le suite di crittografia nell'oggetto CTX di OpenSSL:
Cipher-Suite-Table Configuration:
--------------------------------
rsa-rc4-md5
rsa-des-cbc3-sha
rsa-aes256-cbc-sha
get_cipher_suites(ssl_cipher_suites);
get_cipher_suites(char *ssl_cipher_suites)
{
for(i=0; i < MAX_CIPHERS;i++) // traverse the list of cipher suites configured
{
strncat(ssl_cipher_suites,configured_suite[i]);
strncat(ssl_cipher_suites,":",1);
}
}
SSL_CTX_set_cipher_list(ctx,ssl_cipher_suites);