Est-il préférable d'activer ou de désactiver SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS?

Le titre résume mieux ma question.

J'essaie de rendre mon server Ubuntu 10.0.4 compatible avec le PCI, et pour ce faire, la dernière balise de la list est de s'assurer qu'il n'est pas vulnérable à l'attaque BEAST. Pour ce faire, je peux désactiver SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS, mais selon le lien suivant:

http://people.canonical.com/~ubuntu-security/cve/2011/CVE-2011-3389.html

Cela risque de compromettre la compatibilité avec certaines implémentations de SSL, sans offrir vraiment beaucoup de bénéfices de security puisque l'attaque de BEAST est peu pratique et les browsers modernes ne permettent pas l'exécution de code arbitraire.

L'objective final est le suivant: être compatible PCI, mais sans solution peu pratique (p. Ex., Je ne souhaite pas désactiver TLS 1.0).

Modifier: question secondaire déplacée à une question distincte: où puis-je find le file pour définir SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS

Si votre objective est d'être compatible PCI sans créer de gâchis, attaquez- vous l'attaque BEAST .

Sérieusement, chaque browser moderne a travaillé autour de BEAST depuis des années . Discutez le non-problème dans votre documentation de politique, ou si vos auditeurs sont des idiots prenez le point que si quelqu'un utilise un browser qui est susceptible de BEAST, vous refuserez simplement leur access à votre site et leur requestr de mettre à jour leur mauvaise qualité, un browser non sécurisé et non sécurisé (et que votre équipe d'applications mette en œuvre cela via la détection du browser).


La prochaine meilleure atténuation, en plus de «visser le BEAST», est de désactiver TLS / 1.0 – et exige que tous les clients utilisent TLS / 1.1 ou supérieur. (Ceci est vraiment une variante de "Screw the BEAST", appliqué par un refus direct de parler à n'importe quel browser assez craquelé pour être vulnérable).
La rupture de la compatibilité pour les personnes ayant une mauvaise security est la seule façon de les mettre à niveau.

Si vous ne voulez toujours pas le faire, vous pouvez atténuer le problème en désactivant les numbers qui sont sensibles à BEAST , mais cela a d' autres (méchantes) implications de security que le PCI dans sa myopie infini ne s'en préoccupe pas.
Vous allez fermer un «trou de security» (citations aériennes, car il est assez bien travaillé) pour ouvrir un trou de security (un vector potentiel pour les attaquants malveillants de compromettre votre site dans le monde réel, sans les bons controls de compensation que BEAST a ).