Graciosamente matando SSL 2 e 3

Navegue suas respostas
2

À luz do POODLE, temos um requisito urgente de desativar o SSL2 / 3 e o TLS 1.0 em nossos servidores da Web voltados para o público. No entanto, somos um órgão do setor público e cerca de 5 a 10% das visitas aos nossos sites são feitas com máquinas que executam o Windows XP e navegadores inferiores, e nossos usuários não são especialistas em tecnologia e começarão a inundar nossas linhas de atendimento se tentarem visitar um site que eles usam regularmente apenas para descobrir que está "abaixo".

O que gostaríamos de fazer é mostrar uma mensagem aos usuários de navegadores mais antigos informando-os de que o SSL2 / 3 não existe mais e aconselhando-os a atualizar o sistema operacional / navegador para continuar usando seus sites. No entanto, parece que para detectar SSL2 / 3, temos que ter SSL2 / 3 ativado em nossos servidores ...

Existe alguma outra maneira segura de detectar solicitações sobre SSL2 / 3 e reagir adequadamente?

    
por 5arx 23.03.2016 / 17:59

2 respostas

3

A única coisa em que consigo pensar é ter um proxy na frente do site que ainda suporte os padrões antigos e redirecionar o usuário para um site diferente se ele detectar conexões SSL2 ou 3 (ou uma cadeia de navegador não suportada ?)

É claro que, para fazer isso, você precisará de um proxy que possa falar com segurança dos antigos protocolos para navegadores mais antigos sem comprometer potencialmente as conexões de endpoints mais seguros. Isso não vai ser fácil; você precisará manter o próprio proxy corrigido e seguro e parte de ser capaz de garantir que é o caso de desativar protocolos inseguros como SSL2 ou 3 e, é claro, uma auditoria do PCI contra o seu site passará por este proxy e dará resultados inúteis, se isso for um problema para você. Boa sorte com tudo isso.

Na reflexão desde a minha trajetória anterior em responder a isso, você só precisa aceitar que é hora de cortar suas perdas. Além de qualquer outra coisa, não posso deixar de imaginar que qualquer pessoa que não tenha atualizado a partir do IE6 ainda não irá ou faz parte de uma rede corporativa e não pode .

    
por 23.03.2016 / 18:36
3

O handshaking SSL ocorre antes de qualquer comunicação em nível de aplicativo, portanto, se você quiser proibir 2/3, os navegadores receberão uma mensagem muito feia.

Por outro lado, você pode ativar 2/3 e fazer com que seu aplicativo detecte a versão baixa e retorne ao usuário uma mensagem de erro específica. Infelizmente, neste ponto, eles já enviaram a você quaisquer cookies de sessão, etc., que tenham sobre a versão antiga do SSL, expondo-os potencialmente. A única maneira de impedir que o usuário transmita esses dados é bloquear as antigas versões SSL durante o handshake e conviver com a experiência de usuário sem graça.

    
por 23.03.2016 / 20:12

Tags

openldap sizelimit. Não é possível receber mais de 500 entradas Vários provedores de DNS replicados com o Route 53