Я пытаюсь немного лучше понять эту уязвимость Google Poodle. Итак, у меня есть сервер, и мне нужно отключить SSL. Это не проблема, так как количество пользователей, которые все еще используют SSL, будет низким (я думаю, Windows XP - IE6).
Итак, SSL отключен, все в порядке.
Проблема заключается в том, что для соответствия стандарту PCI к июню 2016 года вам необходимо отключить поддержку TLS 1.0. Не думая, что это будет проблемой, я отключил его на сервере. Теперь я обнаружил, что некоторые общие пары, например Windows XP в IE8 не может подключиться к моему сайту. Если они посещают мою веб-страницу, им отображается сообщение об ошибке, что они не могут подключиться.
Это может показаться неважным, потому что вам, вероятно, интересно, кто использует такие вещи, как XP и IE8. Вы не поверите, но это все еще очень распространенная комбинация во многих крупных заведениях. С одной стороны, у меня нет другого выбора, кроме как быть совместимым с PCI, но с другой стороны, при этом около 5% моих посетителей не могут просматривать мой сайт (а 5% составляют большое количество).
Итак, какие у меня есть варианты? Если TLS 1.0 отключен, есть ли способ разрешить людям, не поддерживающим TLS 1.1 и выше, просматривать мой сайт?
Спасибо
Если ваше соответствие PCI требует от вас отказа от поддержки SSLv3 и TLS 1.0, то, как вы говорите, вы должны это сделать, чтобы соответствовать требованиям. Однако, не будучи экспертом по PCI, я полагаю, что PCI охватывает только системы, обрабатывающие финансовые данные.
Что вы можете сделать, чтобы обойти эти требования, так это разделить ваш веб-сайт так, чтобы часть вашего веб-сайта, которая обслуживает общую информацию о вашей компании, могла быть сайтом только для HTTP или HTTPS, но с резервным в SSLv3. Фактически конфиденциальное веб-приложение может тогда обслуживаться только с TLS 1.1+. Есть ли у вас статистика относительно того, сколько пользователей на самом деле используют защищенную часть вашего веб-сайта с этих старых скрипучих машин, а не просто просматривают ваш веб-сайт для получения общей информации?
Тогда у вас будет возможность для вашего веб-приложения определить, что браузер пользователя несовместим с защищенной частью веб-сайта, и побудить их к обновлению.
Это означает отказ от поддержки Windows XP, но вряд ли вы сделаете это первым. Microsoft не поддерживает его уже более года, и эти новые требования не влияют на вас однозначно. Ваши клиенты, все еще использующие эти старые неподдерживаемые платформы, будут вынуждены выполнить обновление, несмотря ни на что.