Dois-je désactiver la compression SSL à cause de CRIME?
J'ai lu CRIME - Comment battre le successeur de BEAST? et quelques articles sur le sujet (liés ci-dessous) et je n'ai trouvé aucune recommandation pour les administrateurs système.
En tant qu'hôte Web, dois-je désactiver la compression SSL en raison de CRIME?
Oui, vous devez probablement désactiver la compression TLS sur le serveur Web, si vous utilisez SSL sur un site hautement sensible à la sécurité.
Pour la plupart de votre base d'utilisateurs, ce n'est pas strictement nécessaire. La désactivation de la compression TLS sur le serveur Web n'est utile que pour protéger la petite fraction d'utilisateurs qui exécutent des navigateurs plus anciens et vulnérables. Firefox et Chrome sont les seuls navigateurs à avoir pris en charge la compression TLS. IE, Safari, Opera ne l'ont jamais supporté. Firefox et Chrome ont désactivé la compression TLS dans leurs dernières versions. Les deux utilisent des mises à jour automatiques, donc la majorité des utilisateurs) passera très bientôt aux versions corrigées. Par conséquent, la plupart des utilisateurs seront déjà protégés, même si vous ne faites rien.
Cependant, certains utilisateurs peuvent toujours utiliser des versions de navigateur plus anciennes qui prennent en charge la compression TLS et sont donc vulnérables. Par exemple, Ivan Ristić estime que (en septembre 2012) environ 7% des visiteurs de son site Web utilisent un navigateur plus ancien qui prend en charge la compression TLS et est vulnérable au CRIME. Je m'attends à ce que ce nombre diminue avec le temps. Néanmoins, il est probablement avantageux de désactiver la compression TLS sur votre serveur: cela aide à protéger ces utilisateurs contre l'attaque CRIME.
Mes remerciements à Andrey Botalov pour la référence aux estimations d'Ivan Ristić sur la prévalence des navigateurs vulnérables.
Pour plus de détails sur la façon de désactiver la compression SSL sur votre serveur Web, voir cet article de blog des partenaires iSEC .
Oui. Oui tu devrais.
Si vous exploitez un site Web, utilisez l'outil d'évaluation SSL Labs pour déterminer si votre site prend en charge la compression TLS et SPDY (recherchez Compression et Next Protocol Support sur la page de résultats, vers le bas). Si vous pensez que le risque est trop élevé, désactivez la compression si votre logiciel Web vous permet de le faire. (S'ils ne le font pas aujourd'hui, ils le feront bientôt.)
(De Qualys )