¿Debo deshabilitar la compresión SSL debido a CRIME?

21

He leído CRIME: ¿Cómo vencer al sucesor de BEAST? y algunos artículos sobre el tema ( vinculado a continuación) y no se encuentran recomendaciones para los administradores de sistemas.

Como host web, ¿debería deshabilitar la compresión SSL debido a CRIME?

ThreatPost: un nuevo ataque utiliza SSL / TLS Fuga para secuestrar sesiones HTTPS

ArsTechnica: La ruptura en la base de confianza de Internet permite el secuestro de sesiones de HTTPS

    
pregunta Daniel Serodio 14.09.2012 - 22:44
fuente

2 respuestas

20

Sí, probablemente debería deshabilitar la compresión TLS en el servidor web, si usa SSL en un sitio altamente sensible a la seguridad.

Para la mayoría de su base de usuarios, esto no es estrictamente necesario. Desactivar la compresión TLS en el servidor web es útil solo para proteger a la pequeña fracción de usuarios que tienen navegadores más antiguos y vulnerables. Los únicos navegadores que alguna vez admitieron la compresión TLS fueron Firefox y Chrome. IE, Safari, Opera nunca lo han soportado. Firefox y Chrome han deshabilitado la compresión TLS en sus últimas versiones. Ambos utilizan actualizaciones automáticas, por lo que la mayoría de los usuarios actualizarán a versiones parcheadas muy pronto. Por lo tanto, la mayoría de los usuarios ya estarán protegidos, incluso si no hace nada.

Sin embargo, es posible que algunos usuarios sigan utilizando versiones anteriores del navegador que admiten la compresión TLS y, por lo tanto, son vulnerables. Por ejemplo, Ivan Ristić estima que (a partir de septiembre de 2012) aproximadamente el 7% de los visitantes de su sitio web utilizan un navegador más antiguo que soporta compresión TLS y es vulnerable a CRIME. Espero que este número pueda disminuir con el tiempo. No obstante, es probable que haya algún beneficio al desactivar la compresión TLS en su servidor: ayuda a proteger a esos usuarios contra el ataque de CRIMEN.

Mi agradecimiento a Andrey Botalov por la referencia a las estimaciones de Ivan Ristić sobre la prevalencia de navegadores vulnerables.

Para obtener detalles sobre cómo deshabilitar la compresión SSL en su servidor web, consulte esta publicación de blog de iSEC Partners .

    
respondido por el D.W. 15.09.2012 - 09:54
fuente
6

Sí. Sí, deberías.

  

Si está operando un sitio web, use la herramienta de evaluación de SSL Labs para determinar si su sitio es compatible con la compresión TLS y SPDY (busque Compression and Next Protocol Support en la página de resultados, en la parte inferior). Si cree que el riesgo es demasiado alto, desactive la compresión si su software web le permite hacerlo. (Si no lo hacen hoy, lo harán pronto).

(De Qualys )

    
respondido por el gowenfawr 14.09.2012 - 22:49
fuente

Lea otras preguntas en las etiquetas