CRIMEのためにSSL圧縮を無効にする必要がありますか？

はい。セキュリティが非常に重要なサイトでSSLを使用する場合は、WebサーバーでTLS圧縮を無効にする必要があります。

ほとんどのユーザーベースにとって、これは厳密には必要ありません。 WebサーバーでTLS圧縮をオフにすることは、古い脆弱なブラウザを実行しているごく一部のユーザーを保護する場合にのみ役立ちます。これまでTLS圧縮をサポートしていたブラウザは、FirefoxとChromeだけでした。 IE、Safari、Operaはこれをサポートしていません。FirefoxとChromeは最新バージョンでTLS圧縮を無効にしています。どちらも自動更新を使用しているため、大多数のユーザーがパッチが適用されたバージョンにすぐにアップグレードされるため、何もしなくても、ほとんどのユーザーはすでに保護されています。

ただし、TLS圧縮をサポートする古いバージョンのブラウザをまだ使用しているユーザーがいるため、脆弱です。たとえば、IvanRistić 推定 （2012年9月現在）彼のWebサイトへの訪問者の約7％が、TLS圧縮をサポートし、CRIMEに脆弱な古いブラウザを使用しています。この数は時間の経過とともに減少する可能性があります。それにもかかわらず、サーバーでTLS圧縮をオフにすることには、おそらくいくつかの利点があります。それは、CRIME攻撃からそれらのユーザーを保護するのに役立ちます。

脆弱なブラウザの普及に関するIvanRistićの推定を参照してくれたAndrey Botalovに感謝します。

WebサーバーでSSL圧縮を無効にする方法の詳細については、 iSECパートナーからのこのブログ投稿 を参照してください。

はい。はい、そうすべきです。

Webサイトを運用している場合は、SSL Labs評価ツールを使用して、サイトがTLS圧縮とSPDYをサポートしているかどうかを確認します（結果ページの下部にある圧縮と次のプロトコルのサポートを探します）。リスクが高すぎると思われる場合は、Webソフトウェアで可能であれば圧縮を無効にしてください。 （彼らが今日そうでなければ、彼らはすぐにそうするでしょう。）

（から Qualys ）