[packages/openssl] - rel 2; disable unsecure protocols (zlib: CRIME attack; SSLv2: uses md5; SSLv3: POODLE) - enable en
Jacek Konieczny
jajcus at jajcus.net
Tue Oct 21 14:09:45 CEST 2014
On 21/10/14 13:58, Adam Osuchowski wrote:
> Tak nie może być. To, że SSL2 i SSL3 są niebezpieczne nie oznacza, że
> należy od razu wywalić dla nich support. Te opcje usuwają również możliwość
> łączenia się z klienta s_client za pomocą SSL2/SSL3, a to jest potrzebne,
> chociażby po to, żeby sprawdzić czy dany serwis nie obsługuje przez
> przypadek SSL2/SSL3 (że nie wspomnę o tym, że część usług jeszcze chodzi
> na SSL3). Zresztą w przypadku serwera wywalanie tego też jest bez sensu,
> z analogicznych powodów. Ograniczanie dostępności protokołów powinno mieć
> miejsce na poziomie konfiguracji aplikacji, a nie fizycznym wywaleniu
> supportu z biblioteki.
+1
Też mi się ten commit nie podobał… powiedziałbym, że to wręcz szalony
pomysł.
Biblioteka powinna implementować wszystkie protokoły i szyfry jakie
umie, konfiguracja klientów i serwerów (także ta za-hard-kodowana w
nich) dopiero może to ograniczać.
Jedyne co można by, ewentualnie, w openssl zmienić do domyślny wybór
protokołów i szyfrów. Ale i to może być ryzykowne – jak potem
wytłumaczyć klientowi fakt, że coś „działało, a już nie działa”.
Pozdrawiam,
Jajcuś
More information about the pld-devel-pl
mailing list