Seperti yang ditulis google di entri blog ini http://googleonlinesecurity.blogspot.se/2014/10/ini-poodle-bites-exploiting-ssl-30.html ada tiga cara untuk mengurangi POODLE:
- Nonaktifkan dukungan SSL 3.0
- Nonaktifkan sandi mode-CBC dengan SSL 3.0
- Mendukung TLS_FALLBACK_SCSV
Dua opsi pertama merusak kompatibilitas dengan klien lama seperti IE6 di XP. TLS_FALLBACK_SCSV bergantung pada browser yang mendukungnya, yang saat ini hanya Chrome yang melakukannya, tetapi Firefox akan terlalu cepat. TLS_FALLBACK_SCSV membutuhkan OpenSSL 1.0.1j yang baru dirilis.
Jika memungkinkan Anda harus menonaktifkan dukungan SSL 3, tetapi jika Anda harus tetap mendukungnya, ini adalah bagaimana Anda dapat menguranginya, jika Anda memiliki OpenSSL 1.0.1j dan nginx:
ssl_ciphers EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH+aRSA+RC4:EECDH:EDH+aRSA:RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!CAMELLIA;
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
Konfigurasi cipher ini akan memberikan kerahasiaan maju di sebagian besar browser dan mengurangi sisi server POODLE + BEAST. Ini bekerja dengan memprioritaskan RC4 melalui AES ketika dihadapkan dengan browser SSL 3 atau TLS 1.0, sehingga menghindari mode CBC. Browser yang menjalankan TLS 1.1+ tidak menggunakan RC4, yang tidak seaman yang kami inginkan .
Saat ini memberikan peringkat A pada ssllab, contoh dari tindakan ini: https://www.ssllabs.com/ssltest/analyze.html?d=s.nimta.com