Estou tentando entender um pouco melhor essa vulnerabilidade do Google Poodle. Então eu tenho um servidor, uma coisa que preciso fazer é desabilitar o SSL. Isso não é um problema, pois o número de usuários que ainda usam SSL será baixo (Windows XP - IE6, acredito).
Então, o SSL agora está desabilitado, está tudo bem.
Aqui está o problema: para agora ser compatível com PCI, até junho de 2016 você terá que desabilitar o suporte ao TLS 1.0. Não pensando que isso seria um problema, fui em frente e desativei no servidor. Agora estou descobrindo que alguns pares comuns, por exemplo, Windows XP no IE8, não conseguem se conectar ao meu site. Se eles visitarem minha página da web, será exibido um erro informando que não conseguem se conectar.
Isso pode não parecer grande coisa, porque você provavelmente está se perguntando quem usa coisas como XP e IE8. Acredite ou não, ainda é uma combinação muito comum em muitos grandes estabelecimentos. Por um lado, não tenho escolha a não ser ser compatível com PCI, mas por outro lado, ao fazer isso, cerca de 5% dos meus visitantes não conseguem visualizar meu site (e 5% equivale a um grande número).
Então, quais opções eu tenho? Com o TLS 1.0 desativado, existe alguma maneira de permitir que pessoas sem suporte para TLS 1.1 e superior visualizem meu site?
Obrigado
Responder1
Se a sua conformidade com PCI exigir que você abandone o suporte para SSLv3 e TLS 1.0, então, como você disse, você terá que fazer isso para permanecer em conformidade. Porém, sem ser um especialista em PCI, imagino que o PCI abrange apenas sistemas que tratam de dados financeiros.
O que você pode fazer para contornar esses requisitos é dividir seu site, de modo que a parte do site que fornece informações gerais sobre sua empresa possa ser um site somente HTTP ou HTTPS, mas com substituto para SSLv3. O aplicativo da web realmente confidencial pode então ser servido apenas com TLS 1.1+. Você tem estatísticas sobre quantos usuários realmente usam a parte segura do seu site a partir dessas máquinas antigas e barulhentas, em vez de apenas navegar no seu site para obter informações gerais?
Você teria então a oportunidade de seu aplicativo da web detectar que o navegador do usuário não é compatível com a parte segura do site e incentivá-lo a atualizar.
Isso significa abandonar o suporte ao Windows XP, mas você dificilmente seria o primeiro a fazer isso. A Microsoft não oferece suporte há mais de um ano e você não é afetado exclusivamente por esses novos requisitos. Seus clientes que ainda executam essas plataformas mais antigas e sem suporte serão forçados a atualizar, não importa o que aconteça.