Mi título lo resume bastante bien. Si tengo:
Un servidor con el protocolo SSLv3 desactivado, PERO todavía tiene cifrados SSLv3 habilitados.
¿Eso significaría que todavía puede ocurrir un ataque de degradación de protocolo?
Si su servidor no es compatible con SSLv3, entonces no es compatible con SSLv3 . Los "ataques de degradación de protocolo" son métodos para obligar a un cliente y servidor a usar una versión de protocolo que ambos admiten , aunque ambos conocen al menos una versión más nueva que hubieran deseado usar, dada la opción .
Anécdota: Soy francés. En 2005, caminaba por las calles de Nueva York (5ª avenida, creo); Yo estaba allí para un congreso. Unos pasos más adelante, veo a dos turistas hablando juntos, y hablan en francés. Dos minutos y tres cuadras más tarde, uno de ellos me advierte, y (de manera crucial) que estaba manejando un mapa. Así que se resuelve a hacerme una pregunta porque estaban un poco perdidos. Luego me habla en inglés . Eso es comprensible: en Nueva York, el inglés es el "lenguaje básico". Ese tipo conocía dos versiones del protocolo (el inglés y el francés) y obviamente prefería el francés (ya que eso era lo que estaba usando con su esposa). Afortunadamente, aproveché mi conocimiento anterior (que él sabía francés) y continuamos la conversación en francés.
Así que eso es todo. Un ataque de degradación de protocolo es cuando usted hace que dos personas francesas hablen en inglés evitando que se den cuenta de que ambos saben francés. Sin embargo, eso puede suceder solo porque ambos aceptan hablar en inglés. Si uno de ellos desactiva el protocolo "inglés" (porque se niega a hablar inglés, o simplemente no lo sabe, o solo conoce la variante del inglés con acento de Texas), entonces, por supuesto, no hablarán inglés. , ataque o no ataque.
Lea otras preguntas en las etiquetas attacks tls openssl cipher-selection