Я пытаюсь немного лучше понять эту уязвимость Google Poodle. Итак, у меня есть сервер, и мне нужно отключить SSL. Это не проблема, так как количество пользователей, которые все еще используют SSL, будет небольшим (Windows XP - IE6, я полагаю).
Итак, SSL теперь отключен, все в порядке.
Вот в чем проблема: чтобы соответствовать PCI, к июню 2016 года вам придется отключить поддержку TLS 1.0. Не думая, что это станет проблемой, я пошел дальше и отключил ее на сервере. Теперь я обнаружил, что некоторые распространенные пары, например Windows XP на IE8, не могут подключиться к моему веб-сайту. Если они посещают мою веб-страницу, им отображается ошибка, что они не могут подключиться.
Это может показаться не таким уж большим делом, потому что вам, вероятно, интересно, кто использует такие вещи, как XP и IE8. Хотите верьте, хотите нет, но это все еще очень распространенная комбинация во многих крупных заведениях. С одной стороны, у меня нет выбора, кроме как соответствовать PCI, но с другой стороны, при этом около 5% моих посетителей не могут просматривать мой сайт (а 5% — это большое число).
Итак, какие у меня есть варианты? При отключенном TLS 1.0 есть ли способ разрешить людям без поддержки TLS 1.1 и выше просматривать мой сайт?
Спасибо
решение1
Если соответствие PCI требует от вас отказаться от поддержки SSLv3 и TLS 1.0, то, как вы говорите, вам придется это сделать, чтобы оставаться соответствующим. Однако, не будучи экспертом по PCI, я полагаю, что PCI распространяется только на системы, которые обрабатывают финансовые данные.
Что вы можете сделать, чтобы обойти эти требования, так это разделить ваш веб-сайт, так что часть вашего веб-сайта, которая обслуживает общую информацию о вашей компании, может быть сайтом только HTTP или HTTPS, но с откатом на SSLv3. Действительно чувствительное веб-приложение тогда может обслуживаться только с TLS 1.1+. Есть ли у вас статистика относительно того, сколько пользователей фактически используют защищенную часть вашего веб-сайта с этих старых скрипучих машин, в отличие от простого просмотра вашего веб-сайта для получения общей информации?
Тогда у вашего веб-приложения появится возможность определить, что браузер пользователя несовместим с защищенной частью веб-сайта, и побудить его выполнить обновление.
Это означает прекращение поддержки Windows XP, но вы вряд ли будете первым, кто это сделает. Microsoft не поддерживает ее уже больше года, и эти новые требования не затронули только вас. Ваши клиенты, которые все еще используют эти старые неподдерживаемые платформы, будут вынуждены обновиться в любом случае.