it-swarm.com.de

Sollte ich die SSL-Komprimierung wegen CRIME deaktivieren?

Ich habe CRIME - Wie man den BEAST-Nachfolger besiegt? und einige Artikel zu diesem Thema (unten verlinkt) gelesen und keine Empfehlungen für Systemadministratoren gefunden.

Sollte ich als Webhost die SSL-Komprimierung aufgrund von CRIME deaktivieren?

ThreatPost: Neuer Angriff verwendet SSL/TLS-Informationsleck, um HTTPS-Sitzungen zu entführen

ArsTechnica: Ein Riss in der Vertrauensgrundlage des Internets ermöglicht die Entführung von HTTPS-Sitzungen

20
Daniel Serodio

Ja, Sie sollten wahrscheinlich die TLS-Komprimierung auf dem Webserver deaktivieren, wenn Sie SSL auf einer sehr sicherheitsrelevanten Site verwenden.

Für die meisten Benutzer ist dies nicht unbedingt erforderlich. Das Deaktivieren der TLS-Komprimierung auf dem Webserver ist nur nützlich, um den kleinen Teil der Benutzer zu schützen, die ältere, anfällige Browser ausführen. Die einzigen Browser, die jemals die TLS-Komprimierung unterstützten, waren Firefox und Chrome. IE, Safari, Opera haben es nie unterstützt. Firefox und Chrome haben die TLS-Komprimierung in ihren neuesten Versionen deaktiviert. Beide verwenden automatische Updates, sodass die Mehrheit der Benutzer wird sehr bald auf gepatchte Versionen aktualisiert. Daher sind die meisten Benutzer bereits geschützt, auch wenn Sie nichts tun.

Es kann jedoch vorkommen, dass einige Benutzer noch ältere Browserversionen verwenden, die die TLS-Komprimierung unterstützen, und daher anfällig sind. Zum Beispiel verwendet Ivan Ristić schätzt das (Stand September 2012) etwa 7% der Besucher seiner Website einen älteren Browser, der die TLS-Komprimierung unterstützt und für CRIME anfällig ist. Ich gehe davon aus, dass diese Zahl mit der Zeit abnehmen kann. Dennoch hat das Deaktivieren der TLS-Komprimierung auf Ihrem Server wahrscheinlich einige Vorteile: Es schützt diese Benutzer vor dem CRIME-Angriff.

Ich danke Andrey Botalov für den Hinweis auf Ivan Ristićs Schätzungen zur Verbreitung anfälliger Browser.

Ausführliche Informationen zum Deaktivieren der SSL-Komprimierung auf Ihrem Webserver finden Sie unter dieser Blog-Beitrag von iSEC Partners .

19
D.W.

Ja. Ja du solltest.

Wenn Sie eine Website betreiben, verwenden Sie das SSL Labs-Bewertungstool, um festzustellen, ob Ihre Website TLS-Komprimierung und SPDY unterstützt (siehe Komprimierung und Unterstützung für das nächste Protokoll auf der Ergebnisseite unten). Wenn Sie der Meinung sind, dass das Risiko zu hoch ist, deaktivieren Sie die Komprimierung, wenn Ihre Web-Software dies zulässt. (Wenn sie es heute nicht tun, werden sie es bald tun.)

(Von Qualys )

7
gowenfawr