On Tuesday 21 of October 2014, Adam Osuchowski wrote: > arekm wrote: > > commit e02b6d37706201456a69b1fecd0e54304bb8d0f5 > > Author: Arkadiusz Miśkiewicz <ar...@maven.pl> > > Date: Mon Oct 20 19:45:36 2014 +0200 > > > > - rel 2; disable unsecure protocols > > (zlib: CRIME attack; SSLv2: uses md5; SSLv3: POODLE) > > - enable enable-ec_nistp_64_gcc_128 on x86_64 > > > > [...] > > > > + no-ssl2 \ > > + no-ssl3 \ > > Tak nie może być. To, że SSL2 i SSL3 są niebezpieczne nie oznacza, że > należy od razu wywalić dla nich support.
Co wcale nie oznacza, że należy ów support zostawiać. > Te opcje usuwają również możliwość > łączenia się z klienta s_client za pomocą SSL2/SSL3, a to jest potrzebne, > chociażby po to, żeby sprawdzić czy dany serwis nie obsługuje przez > przypadek SSL2/SSL3 (że nie wspomnę o tym, że część usług jeszcze chodzi > na SSL3). Zresztą w przypadku serwera wywalanie tego też jest bez sensu, > z analogicznych powodów. Ograniczanie dostępności protokołów powinno mieć > miejsce na poziomie konfiguracji aplikacji, a nie fizycznym wywaleniu > supportu z biblioteki. Jak zwykle kwestia dyskusyjna. Część aplikacji nie ma możliwości konfiguracji protokołów (np. wyszło przy okazji, że libghttp nawet nie korzystał z TLS tylko jechał na SSLv2). Debian np robi dokładnie w ten sposób - wyłącza na poziomie openssl tym samym 'wyłączając" wszystkim aplikacjom. Od razu mówię, że nie upieram się na siłę. Jak zwykle w PLD, jak ktoś potrzebuje to się zostawia... więc istnieje możliwość powrotu do poprzedniej opcji. Pozdrawiam, -- Arkadiusz Miśkiewicz, arekm / ( maven.pl | pld-linux.org ) _______________________________________________ pld-devel-pl mailing list pld-devel-pl@lists.pld-linux.org http://lists.pld-linux.org/mailman/listinfo/pld-devel-pl