Avisos / Importante

Horário de atendimento
de Final de Ano:

Dias 24/12, 25/12, 31/12 e 01/01 não haverá atendimento

Sobre o Padding Oracle On Degradado Legado Encryption (POODLE)

A Certisign informa que o bug Padding Oracle On Degradado Legado Encryption (POODLE), divulgado recentemente no blog da Google, não é uma falha do Certificado SSL. Trata-se de um erro do protocolo SSLv3, que deve ser corrigido para evitar transtornos, como o roubo de dados.

Para corrigir, basta seguir as orientações.

  • Use as funções do seu servidor WEB que suportam TLS_FALLBACK_SCSV, o mecanismo que impede que os invasores forcem os navegadores a utilizar SSL 3.0.
  • Desative o Protocolo SSL 3.0 por completo ou desative SSL 3.0 cipher CBC-mode.
  • Segue exemplo de configuração no servidor WEB Apache/Tomcat:
  • <VirtualHost *:443>
  •     ...
  •     # Intermediate configuration, tweak to your needs
  •     SSLProtocol             all -SSLv2 -SSLv3
  •     SSLCipherSuite          <paste intermediate ciphersuite here>
  •     SSLHonorCipherOrder     on
  •     SSLCompression          off
  •  
  •     # OCSP Stapling, only in httpd 2.3.3 and later
  •     SSLUseStapling          on
  •     SSLStaplingResponderTimeout 5
  •     SSLStaplingReturnResponderErrors off
  •     ...
  • </VirtualHost>

Em função das correções aplicadas nos servidores Web, a maioria dos usuários finais não devem enfrentar dificuldades na compatibilidade com os serviços de Certificação Digital. No entanto, caso o usuário utilize um navegador que não suporte as versões recentes dos protocolos SSL/ TLS, como o Internet Explorer 6, é necessário atualizá-lo para que continue navegando normalmente.