Il mio titolo riassume molto. Se ho:
Un server con il protocollo SSLv3 disabilitato MA ha ancora crittografati SSLv3 abilitati.
Significa che può ancora verificarsi un attacco di downgrade del protocollo?
Se il tuo server non supporta SSLv3, allora non supporta SSLv3 . Gli "attacchi di downgrade del protocollo" sono metodi per forzare un client e un server a utilizzare una versione di protocollo che entrambi supportano anche se entrambi conoscono almeno una versione più recente che avrebbero voluto utilizzare, data la scelta .
Anecdote: sono francese. Nel 2005, stavo camminando per le strade di New York (5a strada, penso); Ero lì per un congresso. A pochi passi da me, vedo due turisti che parlano insieme e parlano in francese. Due minuti e tre blocchi dopo, uno di loro mi ha notato e (in modo cruciale) che stavo gestendo una mappa. Quindi decide di farmi una domanda perché erano un po 'persi. Poi mi parla in inglese . È comprensibile: a New York, l'inglese è il "linguaggio base". Quel ragazzo conosceva due versioni del protocollo (quello inglese e quello francese) e ovviamente preferiva quella francese (poiché era quello che stava usando con sua moglie). Fortunatamente, ho sfruttato la mia conoscenza precedente (che conosceva il francese) e abbiamo continuato la conversazione in francese.
Quindi è così. Un attacco di downgrade del protocollo è quando si organizzano due francesi per parlare in inglese impedendo loro di rendersi conto che entrambi conoscono il francese. Tuttavia, ciò può accadere solo perché entrambi accettano di parlare inglese. Se uno di loro disabilita il protocollo "inglese" (perché si rifiuta di parlare inglese, o semplicemente non lo sa, o conosce solo la variante completamente inintelligibile di inglese del texano), allora ovviamente non parleranno affatto l'inglese , attacco o nessun attacco.
Leggi altre domande sui tag openssl attacks tls cipher-selection