Capisco che tutto ciò che non usa CBC funzionerà, ma esistono tali modalità? Vorrei anche evitare cose deboli come RC4 / 5 e MD5 in modo così preferibile che utilizzi funzioni sensibili.
Su un server SSL 3.0 solo con diverse funzioni deboli disabilitate lato client, Internet Explorer utilizza le chiavi 3DES con SHA1 HMAC in modalità CBC, c'è qualcosa di meglio che posso fare?
Io non la penso così, almeno non con IE (per questa pagina su Wikipedia) .
Tra RC4 e CBC non ci sono davvero buone suite di crittografia SSLv3 da usare.
Se disponi di client che richiedono vecchie suite di crittografia, rendili VPN nel tuo server web. La sessione VPN può mitigare i rischi.
Se non è un'opzione, bloccali per indirizzo IP. Puoi farlo con un server dedicato come legacy.company.com per i clienti che non possono o non vogliono effettuare l'aggiornamento
Leggi altre domande sui tag tls attack-prevention cipher-selection