Здравствуйте, All! http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_protocols Default: ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
As most of you already know, there is an important SSLv3 vulnerability (CVE-2014-3566 - see https://access.redhat.com/articles/1232123) , known as Poodle. Возможно имеет смысл изменить значение по умолчанию для директивы ssl_protocols, чтобы там было только "TLSv1 TLSv1.1 TLSv1.2" или даже, только "TLSv1.1 TLSv1.2" ? Чтобы nginx был "secure by default", прямо "из коробки". А кому очень надо SSLv2 / SSLv3 / TLSv1 - смогут включить их вручную. И второй вопрос, поскольку SSL уже фактически не осталось, может быть имеет смысл все директивы ssl_******** переименовать в tls_******** ? Так чтобы одновременно поддерживались и те и другие, а со временем ssl_***** стали deprecated и потом removed ? Аналогично, "ssl" => "tls" или "ssl" => "secure" в параметре директивы listen. "HTTPS" ведь расшифровывается как "HTTP Secure". -- Best regards, Gena _______________________________________________ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru