Довольный услышать, что Вы говорите, "пока компонент не фиксируется".
Короче говоря, нет, обычно нет никаких проблем с выполнением так. И если заканчивают тем, что были некоторые, бдительно следят за сайтом и сервером и тонкой настройкой как требуется.
Мы обычно устанавливаем все сайты для переработки несколько раз каждые 24 часа (выключение перерабатывают после x минуты). Единственными проблемами, с которыми Вы столкнулись, являются все, что можно иметь дело с на индивидуальной основе, поскольку потребность возникает (т.е. тонкая настройка для обеспечения более частой переработки на проблемных сайтах, и т.д.):
Править: Я должен указать, что полностью выключаю, "перерабатывают после x мелкая неактивность", но расписание a перерабатывает во времена более низкого действия. Можно также иметь дело с проблемными сайтами, сайтами, которые имеют проблемы из-за утечек памяти или what-have-you, ведущего к необходимости в перерабатывании для возвращения использования памяти вниз снова путем установки основанных на памяти максимумов для пула приложений. Конечно, это приводит к не знанию точно, когда перерабатывание произойдет, но по крайней мере сайты жулика не будут производить другие сайты на сервере излишне (и следить за журналами сервера для наблюдения, когда вещи перерабатываются).
Что ж, смягчение последствий для BEAST (кроме использования исключительно TLS 1.1 / 1.2, который ваш сервер сейчас не может делать) заключается в использовании RC4.
Таким образом, вероятно, невозможно настроить ваш сервер таким образом, чтобы он не был отмечен как уязвимый. Если вам абсолютно необходимо избавиться от этих уязвимостей, вам, вероятно, придется заменить установку OpenSSL в пакете ОС сторонним пакетом более новой версии или скомпилированным из исходного кода.
В наши дни атака BEAST обычно смягчается с помощью 1 / n-1 разделения записей , поскольку RC4 считается слишком слабым для использования сегодня. Ознакомьтесь с рекомендациями по безопасности вашего дистрибутива на предмет обновленного OpenSSL, который реализует разделение записей 1 / n-1, устраняя CVE-2011-3389. (Обратите внимание, что Ubuntu, похоже, уже имеет его .)
Конечно, использование сервера, поддерживающего TLS 1.2, является предпочтительным решением.