Sí, probablemente debería deshabilitar la compresión TLS en el servidor web, si usa SSL en un sitio altamente sensible a la seguridad.
Para la mayoría de su base de usuarios, esto no es estrictamente necesario. Desactivar la compresión TLS en el servidor web es útil solo para proteger a la pequeña fracción de usuarios que tienen navegadores más antiguos y vulnerables. Los únicos navegadores que alguna vez admitieron la compresión TLS fueron Firefox y Chrome. IE, Safari, Opera nunca lo han soportado. Firefox y Chrome han deshabilitado la compresión TLS en sus últimas versiones. Ambos utilizan actualizaciones automáticas, por lo que la mayoría de los usuarios actualizarán a versiones parcheadas muy pronto. Por lo tanto, la mayoría de los usuarios ya estarán protegidos, incluso si no hace nada.
Sin embargo, es posible que algunos usuarios sigan utilizando versiones anteriores del navegador que admiten la compresión TLS y, por lo tanto, son vulnerables. Por ejemplo, Ivan Ristić estima que (a partir de septiembre de 2012) aproximadamente el 7% de los visitantes de su sitio web utilizan un navegador más antiguo que soporta compresión TLS y es vulnerable a CRIME. Espero que este número pueda disminuir con el tiempo. No obstante, es probable que haya algún beneficio al desactivar la compresión TLS en su servidor: ayuda a proteger a esos usuarios contra el ataque de CRIMEN.
Mi agradecimiento a Andrey Botalov por la referencia a las estimaciones de Ivan Ristić sobre la prevalencia de navegadores vulnerables.
Para obtener detalles sobre cómo deshabilitar la compresión SSL en su servidor web, consulte esta publicación de blog de iSEC Partners .