[packages/openssl] - rel 2; disable unsecure protocols (zlib: CRIME attack; SSLv2: uses md5; SSLv3: POODLE) - enable en
Adam Osuchowski
adwol at zonk.pl
Tue Oct 21 13:58:24 CEST 2014
arekm wrote:
> commit e02b6d37706201456a69b1fecd0e54304bb8d0f5
> Author: Arkadiusz Miśkiewicz <arekm w maven.pl>
> Date: Mon Oct 20 19:45:36 2014 +0200
>
> - rel 2; disable unsecure protocols
> (zlib: CRIME attack; SSLv2: uses md5; SSLv3: POODLE)
> - enable enable-ec_nistp_64_gcc_128 on x86_64
>
> [...]
>
> + no-ssl2 \
> + no-ssl3 \
Tak nie może być. To, że SSL2 i SSL3 są niebezpieczne nie oznacza, że
należy od razu wywalić dla nich support. Te opcje usuwają również możliwość
łączenia się z klienta s_client za pomocą SSL2/SSL3, a to jest potrzebne,
chociażby po to, żeby sprawdzić czy dany serwis nie obsługuje przez
przypadek SSL2/SSL3 (że nie wspomnę o tym, że część usług jeszcze chodzi
na SSL3). Zresztą w przypadku serwera wywalanie tego też jest bez sensu,
z analogicznych powodów. Ograniczanie dostępności protokołów powinno mieć
miejsce na poziomie konfiguracji aplikacji, a nie fizycznym wywaleniu
supportu z biblioteki.
More information about the pld-devel-pl
mailing list