¿Por qué los laboratorios SSL dicen que POODLE se mitiga si un servidor elige RC4?

4

Siempre pensé que si un servidor admite cifrados SSLv3 y CBC, es vulnerable a POODLE. Pero parece que ese no es el caso.

Por ejemplo, para Google.com, SSL Labs dice que El ataque de SSL POODLE se mitiga a pesar de que admite cifrados CBC con SSLv3. En una investigación más a fondo, descubrí que si SSL Labs detecta que un servidor prefiere RC4 en lugar de CBC (SSL 3: 0x5 se menciona al lado del resultado de POODLE SSL).

Ahora MITM solo puede proporcionar cifrados CBC a Google.com, luego solo elegirá CBC (de lo que ofrezco) y seguirá siendo vulnerable a POODLE. Pero entonces, ¿por qué SSL Labs dice que no?

    
pregunta Ouney 09.05.2016 - 19:47
fuente

2 respuestas

2

Ivan Ristic explica esto en una entrada de blog :

  

A corto plazo, es posible mitigar POODLE evitando el uso de suites CBC con SSL 3, pero eso implica confiar en un determinado cifrado de flujo inseguro cuyo nombre nadie quiere mencionar. No recomiendo este enfoque.

Y ese cifrado de flujo inseguro (suite) es esto:

TLS_RSA_WITH_RC4_128_SHA (0x5)
    
respondido por el StackzOfZtuff 09.05.2016 - 19:57
fuente
2

La puntuación de riesgo no siempre es clara. Estas son algunas de las consideraciones que SSL Labs tiene que afrontar cuando puntuando una situación como esto:

  • Algunos servidores tienen una necesidad operativa de admitir una amplia variedad de clientes antiguos o sin parches. Dar prioridad a los cifrados de flujo sobre los cifrados de CBC puede mitigar parcialmente a POODLE desde la perspectiva de un servidor , dejándolo en manos del cliente para que admita lo mejor que pueda.
  • RC4 es malo, y ya limita el puntaje en B (para los protocolos pre-TLS 1.1).
  • SSLv3 es malo, y ya limita el puntaje en B (falla completamente si no se admite nada más que SSLv3).
  • POODLE no es una vulnerabilidad de alto riesgo para la mayoría, ya que requiere un ataque de hombre en el medio y hay muchas configuraciones que no son vulnerables.
  • Es probable que Google admita TLS_FALLBACK_SCSV para proteger a los clientes compatibles con TLS de que no se actualicen por la fuerza a la configuración SSLv3 propensa a POODLE. Esta es una mitigación adicional que garantiza que solo los clientes más desactualizados (es decir, solo SSLv3) podrían ser explotados.

Dadas estas entradas, SSL Labs decidió que priorizar RC4 y admitir TLS_FALLBACK_SCSV es una mitigación suficiente del lado del servidor para POODLE, que también tendrá el efecto de reducir la puntuación general.

    
respondido por el bonsaiviking 09.05.2016 - 20:19
fuente

Lea otras preguntas en las etiquetas