标题最好总结我的问题。
我试图使我的Ubuntu 10.0.4服务器PCI兼容,并且这样做,列表中的最后一颗是确保它不容易受到BEAST攻击。 要做到这一点,我可以禁用SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS,但根据以下链接:
http://people.canonical.com/~ubuntu-security/cve/2011/CVE-2011-3389.html
这将破坏与SSL的某些实现的兼容性,但是由于BEAST攻击是不切实际的并且现代浏览器不允许任意代码运行,所以没有提供太多的安全优势。
最终目标如下:符合PCI规范,但没有不切实际的解决scheme(例如,我不想禁用TLS 1.0)。
编辑:移动次要问题到一个单独的问题: 我在哪里可以find该文件来设置SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS
如果您的目标是符合PCI要求,而不会造成混乱, 那么就可以解决BEAST攻击 。
严重的是,每个现代浏览器都已经在BEAST工作了很多年了。 要么在你的政策文件中声明这是一个没有问题的地方,要么是你的审计人员是白痴,如果有人使用易受到BEAST攻击的浏览器,你只会拒绝他们访问你的网站,并指示他们升级糟糕的,过时的,不安全的浏览器(并让您的应用程序团队通过浏览器检测来实现)。
除了“拧BEAST”之外,另一个最好的缓解措施是禁用TLS / 1.0,并要求所有客户端使用TLS / 1.1或更高版本。 (这实际上是一个“拧紧BEAST”的变体,通过彻底拒绝与任何足够脆弱的浏览器进行交stream来实施)。
打破安全性差的人的兼容性是你让他们升级的唯一方法。
如果你仍然不想这么做,那么你可以通过禁用易受BEAST影响的密码来缓解这个问题,但是这样做有其他(令人讨厌的)安全隐患 ,即无限短视的PCI并不关心。
你将会closures一个“安全漏洞”(空洞的引号,因为它有很好的解决办法)来打开一个安全漏洞 (恶意攻击者在现实世界中攻击你的站点的一个潜在的载体,没有BEAST有很好的补偿控制)。