He estado luchando para entender cómo remediar completamente TLS POODLE en IIS 7.5.
Ya he deshabilitado el soporte SSLv3 para SSL POODLE. Pero de acuerdo con la información que recibí de muchos artículos, boletines, etc. hay otra versión de POODLE que se llama "TLS POODLE".
Hasta donde entiendo, aparece TLS POODLE cuando los modos CBC de cifrado están habilitados con la familia TLS.
Los boletines de seguridad de Microsoft dicen;
"MS12-049 Esta actualización de seguridad resuelve un problema divulgado públicamente Vulnerabilidad en TLS. La vulnerabilidad podría permitir información. revelación si un atacante intercepta el tráfico web cifrado desde Un sistema afectado. Todas las suites de cifrado que no utilizan el modo CBC no son afectado. " enlace
Ya apliqué el parche al servidor. Así que la pregunta es;
¿Debo deshabilitar completamente los cifrados CBC incluso si ya implementé la actualización KB2655992? Si la respuesta es sí, ¿qué cifras debo habilitar?