Akibat dari dipublikasikannya konsep serangan “Padding Oracle On Downgraded Legacy Encryption” (PODDLE) yang mengeksploitasi kelemahan pada SSLv3, saya melakukan mitigasi di server Slackware saya biar tetap “hardened” heheheh…. Secara mekanisme kerja, memang client (browser) tentu saja pada saat melakukan koneksi HTTPS ke server, akan memilih protokol yang terbaik yang disupport oleh kedua pihak (client a.k.a browser dan juga server). Tetapi dengan “force downgrade”, client atau server bisa dipaksa untuk terkoneksi menggunakan SSLv3 yang rentan ini. Walaupun server sudah support protokol suksesor SSLv3 seperti TLS v1.0 ke atas, yaa tetap masih bisa di-“force downgrade”. Dengan kata lain, seluruh client (browser) dan webserver yang masih support SSLv3 tentu saja rentan terhadap serangan POODLE.
Continue reading “The “Padding Oracle On Downgraded Legacy Encryption” (POODLE) Attack”