Arresta la vulnerabilità di POODLE in Oracle Application Server

1

La nostra azienda utilizza Oracle Application Server di fronte al database Oracle. Stiamo utilizzando Oracle Wallet Manager (Installato con Oracle Client 10) per creare certificati autofirmati. Come forse sapete, il gestore del portafoglio in v 10 presenta alcune limitazioni nella dimensione della chiave (non conosco esattamente la limitazione e spero che tu possa aiutarmi).

Quando vogliamo emettere un certificato in un primo momento, creiamo una richiesta di certificato con gestore di portafogli e quindi emettiamo un errore in base al certificato nella CA del server Windows.

Ora ho alcune domande:

1- Che cosa indica esattamente la versione ssl / tls? Intendo il web server, il client o il certificato? è possibile che il web server supporti tls v1.0 ma il certificato no?

2- Quali sono i limiti dell'utilizzo di gestore wallet in V10 per emettere il certificato autofirmato?

3 C'è un altro modo per creare un certificato autofirmato senza il gestore di wallet V10? (quando provo le versioni più recenti dell'applicazione oracle non riesce ad aprire un certificato)

4- e la mia domanda più importante: Posso interrompere l'attacco di POODLE nell'applicazione Oracle? (Ho letto da qualche parte che la vulnerabilità di POODLE non si applica a TLSV1, quindi suppongo sia meglio porre la mia domanda in questo modo: il server di applicazioni Oracle supporta TLSV1? )

Apprezzo davvero ogni tipo di aiuto. grazie.

    
posta user3351747 26.12.2014 - 10:15
fonte

2 risposte

2

1- What exactly indicates the ssl/tls version? I mean the web server, client or the certificate? is it possible the web server supports the tls v1.0 but the certificate doesn't?

Il certificato non ha nulla a che fare con la versione TLS negoziata. Per una breve spiegazione, per stabilire una connessione TLS il client e il server vengono sottoposti a un processo di handshake per negoziare varie cose che verranno utilizzate come la versione TLS e la suite di crittografia. Il client informa il server della versione TLS massima supportata e dell'elenco di suite di crittografia che preferisce. Il server quindi decide.

4- and my most important question: Can i stop POODLE attack in oracle application? (I read somewhere that the POODLE vulnerability doesn't apply in TLSV1. so I guess its better to ask my question this way: does Oracle application server support the TLSV1? )

L'attacco POODLE si applica solo alle connessioni SSL 3.0 utilizzando le suite di crittografia CBC. Qualunque cosa utilizzi TLS 1.0 e up dovrebbe essere sicura. Ci sono stati rapporti che alcune implementazioni di TLS 1.0 sono state influenzate a causa di un cattivo utilizzo della specifica, ma io non crediamo che i prodotti Oracle siano tra questi.

    
risposta data 27.12.2014 - 08:57
fonte
0

Preoccuparsi di POODLE quando usi certificati autofirmati è come andare a lavorare senza pantaloni e poi preoccuparti che i tuoi calzini non corrispondano.

POODLE è una vulnerabilità molto reale ma è molto difficile da sfruttare. L'utilizzo di un certificato autofirmato in gran parte (principalmente) vanifica lo scopo dell'utilizzo di ssl / tls.

Lo stesso vale per i limiti di dimensioni della chiave.

    
risposta data 26.12.2014 - 17:29
fonte

Leggi altre domande sui tag