SSLv2, abilitato su un server SSL, è una potenziale vulnerabilità solo se tutte le seguenti condizioni sono vere:
- C'è qualche cliente che vuole connettersi a quel server e scambiare dati sensibili attraverso quel tunnel SSL.
- Anche il client accetta di utilizzare SSLv2.
- Il client e il server non implementano il sistema di rilevamento della versione di rollback descritto in RFC 2246, sezione E. 2 .
In base a tutti questi presupposti, un utente malintenzionato può forzare server e client a utilizzare SSLv2 anche se entrambi supportano SSLv3 o più. Ciò a sua volta può implicare qualche debolezza a seconda del protocollo sottostante (il problema più grande con SSLv2 è la mancanza di terminazione verificata, quindi gli hacker possono forzare il troncamento silenzioso, che è un problema se il protocollo sottostante non è auto- terminato).
Dato ciò che dici, è altamente improbabile che questi "supporto SSLv2" sia un problema nel tuo caso.
Tuttavia , una domanda più interessante è: quali sono questi server comunque? Perché una macchina dovrebbe gestire un servizio di rete, pronto a fare SSL, se non c'è proprio il cliente previsto? Perché non spegnere questi servizi inutilizzati? Il problema non è una questione di SSLv2 rispetto a SSLv3, ma più una questione di avere servizi abilitati per la rete aperti senza una buona ragione.