Лучше ли включать или отключать SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS?

Question

Лучше ли включать или отключать SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS?

Название лучше всего обобщает мой вопрос.

Я пытаюсь сделать мой сервер ubuntu 10.0.4 совместимым с PCI, и для этого последний пункт в списке - убедиться, что он не уязвим для атаки BEAST. Для этого я могу отключить SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS, но по следующей ссылке:

http://people.canonical.com/~ubuntu-security/cve/2011/CVE-2011-3389.html

это нарушит совместимость с некоторыми реализациями SSL, не предлагая при этом значительных преимуществ в плане безопасности, поскольку атака BEAST нецелесообразна, а современные браузеры не позволяют запускать произвольный код.

Конечная цель заключается в следующем: быть PCI-совместимым, но без практического решения (например, я не хочу отключать TLS 1.0).

Изменить: перенес дополнительный вопрос в отдельный вопрос: где найти файл для установки SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS

0

ubuntu openssl ubuntu-10.04 pci

Источник

jperezov 17 фев '14 в 12:41

1 ответ

Другие вопросы по тегам ubuntu openssl ubuntu-10.04 pci

voretaq7 17 фев '14 в 17:07 2014-02-17 17:07 · Answer 1 · 2014-02-17 17:07

Если ваша цель состоит в том, чтобы быть PCI-совместимым, не создавая беспорядка для себя, то используйте BEAST-атаку.

Серьезно, каждый современный браузер работал вокруг BEAST уже много лет. Либо объявите, что это не проблема в документации по вашей политике, либо, если ваши аудиторы являются идиотами, займите позицию, что если кто-то использует браузер, чувствительный к BEAST, вы просто лишите его доступа к вашему сайту и дадите им указание обновить свою паршивую версию. устаревший, небезопасный браузер (и пусть ваша прикладная команда реализует это через обнаружение браузера).

Следующим лучшим решением, кроме "винт ЗВУКА", является отключение TLS/1.0 и требование, чтобы все клиенты использовали TLS/1.1 или выше. (Это на самом деле вариант "Винт ЗВЕРЯ", вызванный прямым отказом общаться с любым браузером, достаточно дрянным, чтобы быть уязвимым).
Нарушение совместимости для людей с паршивой безопасностью - это единственный способ обновить их.

Если вы по-прежнему не хотите этого делать, вы можете смягчить проблему , отключив шифры, которые восприимчивы к BEAST, но при этом имеют другие (неприятные) последствия для безопасности, о которых PCI в своей бесконечной близорукости не заботится.
Вы будете закрывать "дыру в безопасности" (воздушные кавычки, потому что она довольно хорошо обходится), чтобы открыть дыру в безопасности (потенциальный вектор для злоумышленников, которые могут скомпрометировать ваш сайт в реальном мире, без приятных компенсирующих элементов управления, которые есть в BEAST).