Como o Google escreve neste link desta entrada de blogue são três formas de atenuar o POODLE:
- Desativar suporte ao SSL 3.0
- Desativar cifras do modo CBC com SSL 3.0
- Suporte TLS_FALLBACK_SCSV
As duas primeiras opções quebram a compatibilidade com clientes antigos, como o IE6 no XP. O TLS_FALLBACK_SCSV depende do navegador que o suporta, o que, no momento, apenas o Chrome faz, mas o Firefox o fará muito em breve. O TLS_FALLBACK_SCSV requer o recém-lançado OpenSSL 1.0.1j.
Se possível, você deve desabilitar o suporte ao SSL 3, mas se você precisar mantê-lo, é assim que você pode mitigá-lo, se você tiver o OpenSSL 1.0.1j e o nginx:
ssl_ciphers EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH+aRSA+RC4:EECDH:EDH+aRSA:RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!CAMELLIA;
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
Esta configuração de cifras fornecerá sigilo antecipado na maioria dos navegadores e mitigará o lado do servidor POODLE + BEAST. Ele funciona priorizando RC4 sobre AES quando confrontado com um navegador SSL 3 ou TLS 1.0, evitando assim o modo CBC. Os navegadores que estão executando o TLS 1.1+ não usam RC4, não é tão seguro quanto gostaríamos .
Atualmente, ele fornece uma classificação A em ssllabs, exemplo disso em ação: link