Estoy tratando de comprender un poco mejor esta vulnerabilidad de Google Poodle. Entonces tengo un servidor, una cosa que debo hacer es desactivar SSL. Esto no es un problema ya que la cantidad de usuarios que todavía usan SSL será baja (creo que Windows XP - IE6).
Entonces SSL ahora está deshabilitado, todo está bien.
Aquí está el problema: para ser compatible con PCI, para junio de 2016 debe desactivar la compatibilidad con TLS 1.0. Sin pensar que esto sería un problema, seguí adelante y lo desactivé en el servidor. Ahora descubro que algunos emparejamientos comunes, por ejemplo, Windows XP en IE8, no pueden conectarse a mi sitio web. Si visitan mi página web, se les muestra un error que indica que no pueden conectarse.
Puede que esto no parezca gran cosa, porque probablemente te preguntes quién usa cosas como XP e IE8. Lo creas o no, sigue siendo una combinación muy común en muchos grandes establecimientos. Por un lado, no tengo más remedio que cumplir con PCI, pero por otro lado, al hacerlo, alrededor del 5% de mis visitantes no pueden ver mi sitio (y el 5% representa una gran cantidad).
Entonces, ¿qué opciones tengo? Con TLS 1.0 deshabilitado, ¿hay alguna forma de permitir que las personas sin soporte para TLS 1.1 y superior vean mi sitio?
Gracias
Respuesta1
Si su cumplimiento de PCI requiere que deje de admitir SSLv3 y TLS 1.0, entonces, como usted dice, debe hacerlo para seguir cumpliendo. Sin embargo, sin ser un experto en PCI, imagino que PCI sólo cubre sistemas que manejan datos financieros.
Lo que puede hacer para eludir estos requisitos es dividir su sitio web, de modo que la parte de su sitio web que ofrece información general sobre su empresa pueda ser un sitio solo HTTP, o HTTPS pero con respaldo. a SSLv3. La aplicación web realmente confidencial se puede servir únicamente con TLS 1.1+. ¿Tiene estadísticas sobre cuántos usuarios realmente utilizan la parte segura de su sitio web desde estas viejas máquinas chirriantes, en lugar de simplemente navegar por su sitio web para obtener información general?
Luego, tendrá la oportunidad de que su aplicación web detecte que el navegador del usuario no es compatible con la parte segura del sitio web y le inste a actualizar.
Esto significa dejar de ser compatible con Windows XP, pero no serías el primero en hacerlo. Microsoft no lo ha admitido durante más de un año y estos nuevos requisitos no le afectan de manera exclusiva. Sus clientes que aún ejecutan estas plataformas antiguas no compatibles se verán obligados a actualizar pase lo que pase.