Is het niet beter om SSL 3.0 ingeschakeld te laten, dan het helemaal uit te schakelen? Ondanks de lek.

Uhm... waarom?
Merk op dat het in IE (10 en verder tenminste) redelijk eenvoudig was om SSL 3.0 uit te schakelen. In Firefox heeft me dat meer moeite gekost (add-on die niet helemaal doet wat ik wil)

Heise Security waarschuwt voor een onverwachte bijwerking in de Fix-It in http://www.heise.de/security/meldung/Poodle-Microsoft-fixt-SSLv3-Verschluesselung-2438656.html: Vertaald: het kleine Fix-It programma schakelde bij ons niet alleen het defecte SSLv3 uit, maar schakelde ook de, doorgaans gewenste, aktuele standaarden TLS 1.1 en vooral TLS v1.2 uit.


In https://www.security.nl/posting/405457/SSLv3+%22Poodle%22+lek+voor+leken (zoek naar: register) beschrijf ik hoe je SSLv3 definitief kunt uitschakelen voor alle accounts op een PC, zodanig dat gebruikers dat niet (per ongeluk) weer aan kunnen zetten.

Slechte zaak trouwens dat Microsoft in https://support.microsoft.com/kb/3009008 (mixed content trouwens) niet vertelt wat deze Fix-It precies uitspookt op je systeem. Ik heb nu geen tijd om dit uit te zoeken; iemand anders?

Dat zou ik niet doen, zie mijn bovengenoemde artikel voor uitleg.

Aanvulling: https://scotthelme.co.uk/sslv3-goes-to-the-dogs-poodle-kills-off-protocol/ bevat handige plaatjes om te zien hoe je SSLv3 uitschakelt in diverse servers en webbrowsers.

Aanvulling 2: In https://www.ssllabs.com/ssltest/viewMyClient.html kun je testen of ondersteuning voor SSLv3 correct is uitgezet in de specifieke browser die je op dat moment test. Eventuele "mixed content" waarschuwingen zijn normaal op deze pagina, dat is nodig om de tests uit te kunnen voeren (zie ook de discussie vanaf https://www.security.nl/posting/405457/SSLv3+%22Poodle%22+lek+voor+leken#posting406948).

Ook ik heb dat niet uitgeprobeerd en uitgezocht.
Zoals Erik aangeeft: misschien iemand anders?

Wel zie ik dat Microsoft Security Advisory 3009008 vermeldt,
https://technet.microsoft.com/en-us/library/security/3009008:
Die Fix it hoort zich dus alleen met SSL 3.0 in Internet Explorer te bemoeien, niks meer.

En dat is in tegenspraak met deze bevindingen:
Als dit werkelijk optreedt dan is dat een bijzonder domme fout, zo lijkt me.

En los daarvan nog:
Ik zie niet of nauwelijks het nut van Microsoft Fix it 51024 wanneer handmatig uitschakelen van SSL 3.0 support in Internet Explorer zo eenvoudig is als het is. De moeilijkheidsgraad van het handmatig uitschakelen van SSL 3.0 support in Internet Explorer is nauwelijks hoger dan die van het uitvoeren van de Fix it.
Mogelijk blokkeert de Fix it de mogelijkheid om SSL 3.0 support per ongeluk weer in te schakelen, dat zou dan het enige werkelijke voordeel zijn. (Ik heb die Fix it zelf niet getest, dus ik weet niet of het de mogelijkheid om SSL 3.0 support per ongeluk weer in te schakelen blokkeert, zoals ik vermoed.)

Er staat altijd nog wel ergens iemand op een laatste bus te wachten die niet meer komt, we moeten dit aangrijpen om ssl 3.0 nu voor goed de nek om te draaien en sites die het nu nog niet snappen moeten er dan maar op de verveldende manier achter komen, eens zien hoe snel ze kunnen upgraden, je kan geen ommeletten maken zonder een paar eieren te breken.

@Spiff: dank voor de reactie.

Ik heb toch maar even gekeken. Met 7-Zip uit MicrosoftFixit51024.msi de file "Binary.DoWork" bekeken (Edit), daarin staat onder meer (vereenvoudigd):

2688 = 0xA80 = 1010 1000 0000. Dat betekent in de MSIE 11 geavanceerde instellingen:
[  ] Use SSL 2.0
[  ] Use SSL 3.0
[V] Use TLS 1.0
[V] Use TLS 1.1
[V] Use TLS 1.2

128 = 0x80 = 0000 1000 0000. Dat betekent in, MSIE 10 en ouder, in de geavanceerde instellingen:
[  ] Use SSL 2.0
[  ] Use SSL 3.0
[V] Use TLS 1.0
[  ] Use TLS 1.1
[  ] Use TLS 1.2

Uit https://en.wikipedia.org/wiki/Transport_Layer_Security#Web_browsers: Ik vermoed dat Jürgen Schmidt met MSIE10 of ouder getest heeft, en eerder TLS v1.1 en TLS v1.2 had aangezet. Deze Fix-It schakelt ze dan weer uit. En hier heeft Microsoft 2 weken over gedaan?

Conclusies:
1) Ik zou deze Fix-It hooguit gebruiken bij MSIE11, maar zelf de instellingen van MSIE aanpassen is net zo eenvoudig lijkt me.

2) Ik zou deze Fix-It niet gebruiken bij MSIE10 en ouder.

3) Ik werk al zelf 2 weken probleemloos met de door mij voorgestelde fix ([HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
"Enabled"=dword:00000000, zie https://www.security.nl/posting/405457/SSLv3+%22Poodle%22+lek+voor+leken).

Dankjewel, Erik.

Ja, zo ziet het er wel uit. Ach!

De vraag is waaróm Microsoft Fix it 51024 TLS v1.1 en TLS v1.2 voor MSIE 8, 9 en 10 terugzet naar de "Disabled by default" toestand. Enkel omdat dat de oorspronkelijke instelling is? Dat zou nogal erg dom zijn.

Overigens, die mogelijkheid van ondersteuning van TLS v1.1 en TLS v1.2 die bestaat voor MSIE 8, 9 en 10 enkel voor Windows 7 en Server 2008 R2, en daarnaast voor MSIE 10 onder Windows 8 en Server 2012.
Onder Windows Server 2003, Windows Vista en Windows Server 2008 (non-R2) bestaat géén mogelijkheid van ondersteuning van TLS v1.1 en TLS v1.2.
Dit althans allemaal volgens de Wikipedia informatie, ik heb de bronnen niet gecontroleerd.
https://en.wikipedia.org/wiki/Transport_Layer_Security#Web_browsers

Stel ik mij de vraag of je dat ook moet doen, dat uitschakelen van SSL 3.0, als je totaal geen Wi-Fi gebruikt.

Mocht het zijn dan valt het vrij simpel uit te zetten in IExplorer 11 dacht ik, vinkje weghalen. (Internetopties, geavanceerd)

Ik denk niet dat ik, geen Wi-Fi gebruiker zijnde, dat Fix it ga uitproberen, alles draait hier vlot op huidig ogenblik.

Het wel of niet hoeven uitschakelen van SSL3.0, is niet afhankelijk of je wel of niet gebruikt maakt van Wi-Fi wanneer je een beveiligde verbinding maakt met een website. Dit geldt bij mij wetende net zo goed voor kabel.

Tip lees het volgende topic op security.nl als je meer wilt weten over het POODLE-lek:

----------------------------------------------------------------------------------------------
''SSLv3 "Poodle" lek voor leken''
https://www.security.nl/posting/405457/SSLv3+%22Poodle%22+lek+voor+leken
Geschreven door Erik van Straten.
----------------------------------------------------------------------------------------------

Volgens mij volstaat dit om het in FF om te zetten: tik in het url veld about:config en zoek:

security.tls.version.min specifies the minimum allowed protocol version
security.tls.version.max specifies the maximum allowed protocol version

Acceptable values for these options:

0 – SSLv3
1 – TLS 1.0
2 – TLS 1.1
3 – TLS 1.2

minimum allowed wordt dan 1
maximum allowed wordt dan 3