Так что это относительно новая проблема.Я уязвим для теста POODLE/SSLv3
Мой сайт работает на сервере Apache2, установленном на OPENSuse 10 Enterprise. Насколько я читал, есть простой тест командной строки:
openssl s_client -connect mysite.com:443 -ssl3
Возможно, если это возвращает «SSL процедуры: SSL3_READ_BYTES: SSLv3 предупреждение отказ рукопожатия:» в качестве выхода, кроме всего прочего, SSLv3 не поддерживается и ты в порядке. И это так. Так что тест подтвержден - я все в порядке.
Проблема в том, что ребята из SSLLabs имеют свой собственный тест. Вот ссылка: https://www.ssllabs.com/ssltest/index.html. Этот тест терпит неудачу и говорит, что я на самом деле уязвим, потому что SSLv3 IS поддерживается моим сервером.
Итак, два теста, полностью противоположные результаты. Кому я доверяю? Есть ли другие тесты? есть ли какой-нибудь способ быть уверенным?