El problema de los ataques de agotamiento de SSL es bien conocido desde hace años, pero a nadie le importó realmente hasta que THC lanzó su exploit-tool recientemente. THC habla sobre medidas de contador en su lanzamiento:
No existen soluciones reales. Los siguientes pasos pueden mitigar (pero no resolver) el problema:
1. Deshabilitar la renegociación SSL
2. Invertir en SSL Accelerator
Cualquiera de estas contramedidas puede estar evitando modificando THC-SSL-DOS. Una mejor solución es deseable. Alguien debería arreglar esto.
La idea 1 simplemente no funciona porque el núcleo del problema no se basa en la renegociación de SSL. No estoy seguro de la idea 2, aceleradores SSL. ¿Cuántos sistemas dedicados para aceleración SSL necesitaría para evitar un gran ataque de agotamiento de SSL? ¿Tiene sentido esto para un servidor SSL promedio?
Entonces, lo que estoy preguntando aquí es: ¿qué podemos hacer para prevenir tales ataques hasta que haya disponible una solución al problema principal? ¿Cómo podemos proteger nuestros servidores que dependen del cifrado?