IE pe XP are alta problema mai trista: nu suporta SNI. 2015-03-21 21:40 GMT+02:00 Andrei Prodan <scip...@gmail.com>:
> Recomand si eu suitele de la Mozilla, si e critic sa convingi > management-ul ca compatibilitatea cu XP+IE e inconstienta. Altfel faci > un deserviciu tuturor clientilor. > Nici macar Google nu mai suporta XP. > > 2015-03-21 21:37 GMT+02:00 Petru Ratiu <rpe...@gmail.com>: > > Am vazut ca topicul era cu SSL si am zis ca pot sa dau o mana de ajutor > da' > > nu inteleg exact ce problema ai (in afara de "why does it have to be so > > complicated"). > > > > Ia linkul asta https://wiki.mozilla.org/Security/Server_Side_TLS si mai > > vorbim.dupa aia. > > > > -- > > P. "ma fac ca n-am vazut aia cu sha1 pt. criptare" > > > > 2015-03-21 20:44 GMT+02:00 Alex 'CAVE' Cernat <c...@cernat.ro>: > > > >> din ciclul 'm-am dus bou si m-am intors vaca', astazi ssl 'best > practices' > >> m-a pus cutzu sa ma apuc azi de polishat cunostinte de ssl, si am ajuns > >> mai cheaun decat plecasem, asa ca o mica flama nu strica (oricum pe > >> langa marea flama de pe internet legata de subiect suntem mici copii) > >> > >> grupa mica (stiute de mult, poate insa ii e de folos cuiva) > >> - ssl a tot luat-o in freza, trecut pe linie moarta) > >> - md5 e mort de mult > >> - rc4 mai bine lipsa > >> - sha1 ca semnatura la certificate e deprecated spre obsolete > >> > >> si acum, jucandu-ma cu ssllabs.net, sa trecem la lucruri cu adevarat > >> serioase: > >> - ECDHE preferat fata de DHE preferat fata de RSA; total de acord, insa > >> vad ca lumea toarna toate cifrurile ECDHE si dupa aia cele RSA; astfel > >> incat ajungi sa ai in lista un TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA > >> (pentru xp-ul lui peste prajit) inaintea lui spre exemplu > >> TLS_RSA_WITH_AES_256_GCM_SHA384 care nu prea mi se pare normal ... > >> - vad ca DHE-ul e folosit pentru a matura cu el pe jos pe motiv de weak, > >> si anume ca prin parametri setati nu se folosesc toti cei (minim) 2048 > >> biti din cheia RSA, ci doar vreo 1024 (daca si aia); parametri setati > >> unde ? cumva hardcodati in sursele de openssl ? > >> - mai nou vad ca gogu cu al lui chrome injura finut tot ce vede SHA1 (si > >> nu ma refer la semnaturi de certificate, ci si la cifruri); ma uit la > >> site-uri respectate unde apare "your connection is encrypted with > >> obsolete cryptography"; ok, sha1 nu a fost spart (inca), mai ales in > >> ceea ce priveste conexiunea in sine, dar daca gigi stie sa dea click pe > >> verdele ala si vede textul, s-a dus de doua ori toata increderea pe care > >> i-ai dat-o cu ssl-ul; pe de alta parte eu nu am gasit nicaieri pe net > >> recomandari vis-a-vis de sha1 strict in partea de criptare (in schimb pe > >> partea de semnatura recomandarea e clara pentru sha256) > >> - camellia e pe duca, in vreun an doi maxim cica o scot din browsere > >> - aes128 preferat fata de aes256; aici e discutie interminabila, > >> momentan se considera ca aes128 e destul de sigur, aes256 aduce mult > >> prea putina siguranta in plus fata de pierderea de performanta; gogu > >> chrome nici macar nu suporta aes256 (momentan), sau daca suporta e bine > >> ascuns si trebuie activat de mana > >> > >> asta era buna ca tema de prezentare (desi parca a fost ceva de genul, > >> exista pe undeva pe net arhiva la video-uri?), sau si mai curand la una > >> sau mai multe beri, ca de concluzii, cred ca mai rar > >> > >> ps: teste facute pe un Debian 7, apache 2.2, deci oarecum nou dar nu > >> chiar destul de nou, au mai aparut tehnologii de atunci :-P > >> oricum mai sus de A (pe sslabs.net) nu am cum sa ajung, ca nu pot sa > >> activez HSTS-ul, doar cu nenorocirile astea de cifruri pot sa mai mai > >> joc putin pentru a le aduce la o lista 'optima' > >> > >> Alex > >> > >> _______________________________________________ > >> RLUG mailing list > >> RLUG@lists.lug.ro > >> http://lists.lug.ro/mailman/listinfo/rlug > >> > > _______________________________________________ > > RLUG mailing list > > RLUG@lists.lug.ro > > http://lists.lug.ro/mailman/listinfo/rlug > _______________________________________________ > RLUG mailing list > RLUG@lists.lug.ro > http://lists.lug.ro/mailman/listinfo/rlug > _______________________________________________ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
