为什么SSL说，如果服务器选择RC4，狮子狗会被减轻？

Question

我一直认为，如果服务器支持SSLv3和CBC密码，那么它就容易受到贵宾犬的攻击。但情况似乎并非如此。

例如，对于Google.com，SSL实验室表示SSL贵宾狗攻击得到了缓解虽然支持带有SSLv3的CBC密码。在进一步的研究中，我发现如果SSL检测到服务器更喜欢RC4而不是CBC (SSL3: 0x5是在SSL贵宾结果旁边提到的)。

现在MITM只能向Google.com提供CBC密码，然后它只会选择CBC (我提供的内容)，而且它仍然容易受到贵宾狗的攻击。但是为什么SSL实验室说它不是呢？

Answer 1

Ivan在一篇博文中解释了这一点.：

在短期内，可以通过避免使用带有SSL 3的CBC套件来减轻贵宾，但这涉及到依赖某个不安全的流密码，没有人愿意提及它的名称。我不推荐这种方法。

不安全的流密码(套件)是这样的：

TLS_RSA_WITH_RC4_128_SHA (0x5)

Answer 2

风险评分并不总是一目了然。以下是SSL在得分一种情况这样的情况下必须处理的一些注意事项：

• 有些服务器需要支持各种各样的老客户端或未修补的客户端。将流密码优先于CBC密码可以从服务器的角度部分地减轻贵宾狗的影响，让客户端尽可能地支持它。
• RC4是坏的，并且已经将分数限制在B(对于TLS1.1协议之前).
• SSLv3是坏的，并且已经将分数限制在B(如果只支持SSLv3，则完全失败)。
• 对大多数人来说，贵宾犬并不是一个高风险的弱点，因为它需要中间人攻击，而且有许多配置是不容易受到攻击的。
• 谷歌可能支持TLS_FALLBACK_SCSV，以保护支持TLS的客户不被强制降级为易受贵宾保护的SSLv3设置。这是一种额外的缓解措施，它只确保最过时的客户端(即SSLv3 3)可以被利用。

考虑到这些输入，SSL实验室已经决定优先考虑RC4和支持TLS_FALLBACK_SCSV对于贵宾犬来说是一个足够的服务器端缓解，这也将有降低总分的效果。