desabilitando a Renegociação SSL / TLS no heroku

2

Como o título sugere, é possível desabilitar a Renegociação SSL / TLS ao hospedar um aplicativo RoR ou Heroku?

Eu executei a ferramenta de segurança Nessus no meu site e o único aviso sério aparecendo é que o site possivelmente está aberto a ataques DoS.

Eu tentei pesquisar o problema, mas não tenho certeza se é um problema heroku ou o servidor thin ou se o problema é por causa do aplicativo rails.

Existe alguma solução para este problema?

Qualquer conselho seria apreciado.

    
por Lyuben Todorov 26.11.2012 / 14:00

1 resposta

1

Se você estiver usando endpoints SSL para seu aplicativo no Heroku, a criptografia será encerrada no balanceador de carga SSL do Heroku, e não no próprio Rails (rack + thin / puma / etc).

Por que vale a pena, não vejo nada publicado por Heroku afirmando que é possível que indivíduos desativem a renegociação de sessão TLS em seus pontos de extremidade, portanto, se você quiser esse nível adicional de segurança, precisará próprio proxy reverso de terminação SSL (como nginx ou algo assim) e colocar na frente do seu ponto final Heroku.

    
por 10.08.2015 / 18:34