Circa tredici giorni fa è stata segnalata pubblicamente la vulnerabilità POODLE che attacca l'implementazione della modalità di cifratura CBC del protocollo SSL 3. Per essere sfruttato, l'exploit richiede delle condizioni simili a quelle della vulnerabilità BEAST (MitM) ma permette di decifrare molto più velocemente di quest'ultima le informazioni riservate in transito sulla rete.
Per capire se è fattibile disattivare del tutto SSL dobbiamo valutare quali browser supportino almeno TLSv1. Questa pagina di Wikipedia sembra un buon punto di partenza quando sarà il momento valutare il bug.
Edit: la versione breve della tabella è che Chrome e Firefox supportano TLSv1 fin dalla versione 1.0 e Opera dalla 5.0. IE, che è quello che più mi preoccupava, è ok già da IE 7 in poi, anche su WinXP.
Non ho trovato indicazioni chiare per il vecchio browser stock di Android, quindi procedo alla vecchia maniera: provando e vedendo cosa succede (
Edit2: la nostra configurazione era già sicura: SSLProtocol All -SSLv2 -SSLv3. Contando che, così, siamo già a posto in caso esca TLSv1.3, ho lasciato quella.
Uhmm, molto strano: SSL Labs dice che SSLv3 è ancora attivo... WTF?!?!?
Riapro il bug, ma poi vado a letto. Se hai suggerimenti...
Edit: Trovato l'errore di config (mancava un commento a SSLProtocol all -SSLv2 nel file di default sotto /etc/httpd/conf.d, che noi non usiamo). Bug ri-chiuso, SSL Labs felice e ora vado davvero a letto!!
Inserendo un messaggio, dichiari di aver letto e accettato il regolamento di partecipazione.
Nello specifico, sei consapevole che ti stai assumendo personalmente la totale responsabilità delle tue affermazioni, anche in sede civile e/o penale,
manlevando i gestori di questo sito da ogni coinvolgimento e/o pretesa di rivalsa.
Dichiari inoltre di essere consapevole che il messaggio sarà visibile pubblicamente, accetti di diffonderlo con licenza
CC BY-NC-SA 3.0 (con attribuzione a "TurboLab.it") e rinunci ad ogni forma di compensazione (economica o altro).
Rinunci inoltre esplicitamente a qualsiasi pretesa di cancellazione del messaggio.