SSLv3 no se puede desactivar, ¿puedo usar un cifrado débil como solución alternativa?

1

Estamos utilizando lighttpd 1.5.0-2349, que desafortunadamente no admite la opción de deshabilitar SSLv3. Creo que una solución alternativa potencial sería permitirle usar solo un cifrado que ya se ha desactivado en la mayoría de los navegadores, de modo que si se usa SSLv3, no se superponga el cifrado entre el servidor y el cliente.

¿Es esta una buena idea? ¿Qué cifrado sería adecuado para este propósito?

    
pregunta JohnEye 17.10.2014 - 17:20
fuente

2 respuestas

5

Hay cifrados seguros no vulnerables a POODLE que puede utilizar con SSLv3. POODLE solo afecta a las variantes con CBC. Los cifrados RC4, por ejemplo, no son vulnerables a POODLE. Ahora, RC4 es una cosa difícil. Se considerado rompible (pero no realmente activamente roto), pero ya que es la mejor solución para cosas como BEAST y POODLE, se usan mucho y probablemente son lo suficientemente seguros para una pequeña ventana de tiempo por delante.

Como de todos modos vas a actualizar lighttpd, RC4 debería estar bien hasta que termines :)

    
respondido por el gowenfawr 17.10.2014 - 18:44
fuente
3

Veo a dónde vas con esto, y está bien, pensando fuera de la caja. Desafortunadamente, no es probable que funcione en muchos casos, si un navegador admite SSLv3 es probable que también sea compatible con sistemas de cifrado incorrectos.

Mi consejo sería poner este sistema detrás de un proxy web donde pueda controlar los cifrados y los protocolos, y dejar que las conexiones del cliente terminen allí. El cliente se conecta al proxy mediante protocolos seguros y luego el proxy se conecta a la caja insegura.

    
respondido por el GdD 17.10.2014 - 17:26
fuente

Lea otras preguntas en las etiquetas