Sobre o Padding Oracle On Degradado Legado Encryption (POODLE)

A Certisign informa que o bug Padding Oracle On Degradado Legado Encryption (POODLE), divulgado recentemente no blog da Google, não é uma falha do Certificado SSL. Trata-se de um erro do protocolo SSLv3, que deve ser corrigido para evitar transtornos, como o roubo de dados.

Para corrigir, basta seguir as orientações.

• Use as funções do seu servidor WEB que suportam TLS_FALLBACK_SCSV, o mecanismo que impede que os invasores forcem os navegadores a utilizar SSL 3.0.
• Desative o Protocolo SSL 3.0 por completo ou desative SSL 3.0 cipher CBC-mode.
• Segue exemplo de configuração no servidor WEB Apache/Tomcat:

        <VirtualHost *:443>
            ...
            # Intermediate configuration, tweak to your needs
            SSLProtocol             all -SSLv2 -SSLv3
            SSLCipherSuite          
            SSLHonorCipherOrder     on
            SSLCompression          off
         
            # OCSP Stapling, only in httpd 2.3.3 and later
            SSLUseStapling          on
            SSLStaplingResponderTimeout 5
            SSLStaplingReturnResponderErrors off
            ...
        </VirtualHost>
                

Em função das correções aplicadas nos servidores Web, a maioria dos usuários finais não devem enfrentar dificuldades na compatibilidade com os serviços de Certificação Digital. No entanto, caso o usuário utilize um navegador que não suporte as versões recentes dos protocolos SSL/ TLS, como o Internet Explorer 6, é necessário atualizá-lo para que continue navegando normalmente.

Para mais informações, clique aqui

Em caso de dúvidas, entre em contato com o nosso Suporte Corporativo: 11 3546-3712 | suporte@certsign.com.br