Google Poodle - SSL e TLS

1

Estou tentando entender melhor essa vulnerabilidade do Google Poodle. Então eu tenho um servidor, uma coisa que eu preciso fazer é desativar o SSL. Isso não é um problema, pois o número de usuários que ainda usam SSL será baixo (Windows XP - IE6, acredito).

Então, o SSL está desativado, está tudo bem.

Aqui está o problema, para agora ser compatível com PCI, até junho de 2016, você precisa desativar o suporte ao TLS 1.0. Não achando que isso será um problema, eu fui em frente e o desativei no servidor. Agora estou descobrindo que alguns pares comuns, por exemplo O Windows XP no IE8 não pode se conectar ao meu site. Se eles visitarem minha página da Web, serão exibidos um erro que eles não conseguirão conectar.

Isso pode não parecer grande coisa, porque você provavelmente está se perguntando quem usa coisas como XP e IE8. Acredite ou não, ainda é uma combinação muito comum em muitos grandes estabelecimentos. Por um lado, não tenho escolha a não ser ser compatível com PCI, mas, por outro lado, ao fazer isso, cerca de 5% dos meus visitantes não podem ver meu site (e 5% equivale a um grande número).

Então, quais opções eu tenho? Com o TLS 1.0 desativado, existe alguma maneira de permitir que pessoas sem suporte para o TLS 1.1 e superior visualizem meu site?

Obrigado

    
por javapro 15.10.2015 / 11:41

1 resposta

4

Se a sua conformidade com a PCI exigir que você elimine o suporte para SSLv3 e TLS 1.0, então, como você diz, você precisa fazer isso para permanecer em conformidade. No entanto, sem ser especialista em PCI, imagino que o PCI abranja apenas sistemas que lidam com dados financeiros.

O que você pode fazer para contornar esses requisitos é dividir seu site, para que a parte de seu site que exibe informações gerais sobre sua empresa seja um site somente HTTP ou HTTPS mas com fallback para SSLv3. O aplicativo da web realmente confidencial pode ser servido apenas com o TLS 1.1+. Você tem estatísticas sobre quantos usuários realmente usam a parte segura do seu site a partir dessas máquinas antigas, ao invés de apenas navegar em seu site para obter informações gerais?

Você teria então a oportunidade de seu aplicativo da web detectar que o navegador do usuário não é compatível com a parte segura do site e instá-lo a fazer o upgrade.

Isso significa eliminar o suporte para o Windows XP, mas você dificilmente seria o primeiro a fazer isso. A Microsoft não oferece suporte há mais de um ano e você não é afetado exclusivamente por esses novos requisitos. Seus clientes que ainda estiverem executando essas plataformas antigas sem suporte serão forçados a atualizar, não importa o que aconteça.

    
por 15.10.2015 / 14:50

Tags