Detener la vulnerabilidad de POODLE en Oracle Application Server

1

Nuestra empresa está utilizando Oracle Application Server delante de la base de datos Oracle. Estamos utilizando Oracle Wallet Manager (instalado con el cliente Oracle 10) para crear certificados autofirmados. Como sabrá, Wallet Manager en v 10 tiene alguna limitación en el tamaño de la clave (no sé exactamente la limitación y espero que me pueda ayudar).

Cuando queremos emitir un certificado al principio, creamos una solicitud de certificado con Wallet Manager y luego emitimos un certificado basado en el certificado en la CA de servidor de Windows.

Ahora tengo algunas preguntas:

1- ¿Qué indica exactamente la versión ssl / tls? Me refiero al servidor web, al cliente o al certificado? ¿Es posible que el servidor web admita el tls v1.0 pero el certificado no?

2- ¿Cuáles son las limitaciones de usar Wallet Manager en V10 para emitir el certificado autofirmado?

3- ¿Hay otra forma de crear un certificado autofirmado sin Wallet Manager V10? (cuando intento las versiones más recientes, la aplicación Oracle no pudo abrir un certificado)

4- y mi pregunta más importante: ¿Puedo detener el ataque de POODLE en la aplicación de Oracle? (Leí en algún lugar que la vulnerabilidad de POODLE no se aplica en TLSV1. Por lo tanto, creo que es mejor hacer mi pregunta de esta manera: ¿El servidor de aplicaciones Oracle es compatible con TLSV1? )

Realmente aprecio cualquier tipo de ayuda. gracias.

    
pregunta user3351747 26.12.2014 - 10:15
fuente

2 respuestas

2
  

1- ¿Qué indica exactamente la versión ssl / tls? Me refiero al servidor web, al cliente o al certificado? ¿es posible que el servidor web admita el tls v1.0 pero el certificado no?

El certificado no tiene nada que ver con la versión TLS negociada. Para una breve explicación, para establecer una conexión TLS, el cliente y el servidor pasan por un proceso de negociación para negociar varias cosas que se utilizarán, como la versión TLS y la suite de cifrado. El cliente informa al servidor sobre la versión TLS máxima que admite, así como la lista de conjuntos de cifrado que prefiere. El servidor entonces decide.

  

4- y mi pregunta más importante: ¿Puedo detener el ataque de POODLE en la aplicación de Oracle? (Leí en algún lugar que la vulnerabilidad de POODLE no se aplica en TLSV1. Por lo tanto, creo que es mejor formular mi pregunta de esta manera: ¿el servidor de aplicaciones Oracle es compatible con TLSV1?)

El ataque POODLE solo se aplica a las conexiones SSL 3.0 que utilizan conjuntos de cifrado CBC. Todo lo que use TLS 1.0 y hasta debería ser seguro. Ha habido informes que algunas implementaciones de TLS 1.0 se ven afectadas debido a una implementación incorrecta de la especificación, pero no Creo que los productos de Oracle están entre ellos.

    
respondido por el Ayrx 27.12.2014 - 08:57
fuente
0

Preocuparse por POODLE al usar certificados autofirmados es como ir a trabajar sin pantalones y preocuparse de que sus calcetines no coincidan.

POODLE es una vulnerabilidad muy real pero es muy difícil de explotar. El uso de un certificado autofirmado en gran parte (en su mayoría) anula el propósito de usar ssl / tls.

Lo mismo ocurre con preocuparse por las limitaciones de tamaño de la clave.

    
respondido por el mcgyver5 26.12.2014 - 17:29
fuente

Lea otras preguntas en las etiquetas