Acabei de ler o quinto artigo que trás o passo a passo para mitigar a vulnerabilidade denominada POODLE, e fiz a seguinte pergunta: O mercado brasileiro está repleto de administradores de torradeiras ?

Sendo administrador de sistemas há 16 anos, afirmo que não tem pulo do gato, compilação ou passe de mágica para resolver/mitigar esta vulnerabilidade, no que diz respeito a werb servers, pois tudo fica redondo ao adicionar de 4 a 7 linhas no nginx.conf ou no httpd.conf, um simples restart do serviços e Voilà!, o problema foi mitigado.

Acontece que a coisa toda fica complicada em ambientes que possuem mais de 10 servidores web. Pior ainda no caso dos meus colegas de trabalho, que administram 1243 apaches, 572 nginx e 15 openresty (tem gente me xingando até agora por ter instalado e configurado este cara — o povo que não gosta de novidade, viu) – não será um simples script escrito para Ansible, Puppet ou Chef que resolverá o nosso problema.

Precisamos resolver isso em uma outra camada, seja ela um web application firewall ou load balance (como o ha-proxy ou big-ip – quando o cliente tem dinheiro para pagar R$ 100.000,00 por caixa).

No nosso caso, partimos para a solução/mitigação by load balance devido aos seguintes motivos:

  • Somos administradores de sistemas – pensamos antes de sair digitando um monte de linhas, via VI, e dando restart a torto e a direita, principalmente em ambientes produtivos.
  • Sabemos da importância do mantenimento de ambientes em alta disponibilidade e com boa performance, por isso que temos um load balance, layer 7, rodando no topo da cadeia.
  • A implementação deste tipo de mitigação em um load balance é muito mais rápido e simples do que alterar milhares de servidores web.

Como dizemos por aqui – receita de bola existe aos montes, agora confeiteiros e chefs de cozinha.. xiiii… está difícil de achar…

P.S.: Mesmo tendo resolvido o problema no load balance, há necessidade em executar o procedimento de mitigação junto aos web servers, e isso, meus amigos, leva tempo, muito tempo. Mas os clientes estão seguros no que diz respeito ao SSL 3.o, por enquanto. 🙂

P.S.S.: Receita de bolo do poodle para o HA-proxy — cuidado hein… pensem antes de executar