SSLv3 non può essere disabilitato, posso usare il cifrario debole come soluzione alternativa?

1

Stiamo usando lighttpd 1.5.0-2349 che sfortunatamente non supporta l'opzione per disabilitare SSLv3. Penso che una soluzione potenziale potrebbe essere quella di consentire solo l'uso di un codice cifrato che è già stato disabilitato nella maggior parte dei browser, in modo che se si utilizza SSLv3, non vi è alcuna sovrapposizione di crittografia tra server e client.

Questa è una buona idea? Quale cifra sarebbe adatta a questo scopo?

    
posta JohnEye 17.10.2014 - 17:20
fonte

2 risposte

5

Esistono cifrature sicure non POODLE che è possibile utilizzare con SSLv3 - POODLE influisce solo sulle varianti con CBC. I cifrari RC4, ad esempio, non sono vulnerabili a POODLE. Ora, RC4 è una cosa complicata. È considerato irrisolvibile (ma non realmente rotto), ma poiché è la soluzione migliore per cose come BEAST e POODLE, è molto usato e probabilmente abbastanza sicuro per una piccola finestra di tempo.

Dato che hai intenzione di aggiornare comunque lighttpd, RC4 dovrebbe andare bene fino a quando non avrai finito:)

    
risposta data 17.10.2014 - 18:44
fonte
3

Vedo dove stai andando con questo, ed è buono, pronto per pensare. Sfortunatamente non è probabile che funzioni in molti casi - se un browser supporta le probabilità di SSLv3, supporta anche i cifrari sbagliati.

Il mio consiglio è di mettere questo sistema dietro un proxy web in cui è possibile controllare i codici e i protocolli e lasciare che le connessioni client terminino lì. Il client si connette al proxy utilizzando protocolli sicuri e quindi il proxy si connette alla casella non protetta.

    
risposta data 17.10.2014 - 17:26
fonte