Quoi de mieux: Activer ou désactiver SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS?

Le nom résume le mieux ma question.

J'essaie de faire mon serveur ubuntu 10.0.4 Compatible S. PCI, et pour ce dernier élément de la liste - Assurez-vous qu'il n'est pas vulnérable pour attaquer BEAST. Pour ce faire, je peux désactiver SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS, Mais après le lien suivant:

http://people.canonical.com/~u ... .html
Il violera la compatibilité avec certaines implémentations. SSL, Mais cela n'apportera pas d'avantages significatifs en termes de sécurité, depuis l'attaque BEAST Les navigateurs peu pratique et modernes ne vous permettent pas de courir du code arbitraire.

L'objectif ultime est le suivant: être compatible avec PCI, mais sans solution impraticable (Par exemple, je ne veux pas désactiver TLS 1.0).

Changement: La question secondaire a été transférée à une question distincte:
https://serverfault.com/questi ... ments
Invité:

Emilie

Confirmation de:

Si votre objectif - conformité PCI, Ne pas créer de trouble pour vous-même

À la ligne attaquez la bête

.

Sérieusement, chaque navigateur moderne a fonctionné avec BEAST pour

années

à présent. Soit dire que ce n'est pas un problème dans la documentation politique, ni si vos auditeurs - idiots, prendra une position que si quelqu'un utilise un navigateur susceptible de BEAST, Vous les refusez simplement d'accéder à votre site et de leur donner une instruction pour mettre à jour leur navigateur moche, obsolète et dangereux (Et laissez votre équipe de développeur d'applications à la mettre en œuvre via la détection du navigateur).

Le meilleur outil suivant, en plus de "à la ligne Beast, est arrêté. TLS / 1.0 et l'exigence pour tous les clients d'utiliser TLS / 1.1 ou plus. (En fait, c'est l'option "à la caractéristique de la bête", qui nécessite une défaillance directe de parler avec n'importe quel navigateur, plutôt erronée pour être vulnérable).

Violation de compatibilité pour les personnes ayant une mauvaise sécurité - c'est

seul

Donc, vous les faites mettre à jour.

Si vous ne voulez toujours pas faire cela, vous pouvez résoudre le problème.
https://security.stackexchange ... 24817
, Mais en même temps
http://www.isg.rhul.ac.uk/tls/
Quel PCI Dans sa myopie sans fin ne se soucie pas.

Vous allez vous accrocher "Trou en sécurité" (citations parce que cela coûte assez bien), ouvrir

Coffre-fort

(Vecteur potentiel des attaquants pour pirater votre site dans le monde réel, sans de bons contrôles de compensation qui ont BEAST).

Pour répondre aux questions, connectez-vous ou registre