[packages/openssl] - rel 2; disable unsecure protocols (zlib: CRIME attack; SSLv2: uses md5; SSLv3: POODLE) - enable en
Arkadiusz Miśkiewicz
arekm at maven.pl
Tue Oct 21 14:13:49 CEST 2014
On Tuesday 21 of October 2014, Adam Osuchowski wrote:
> arekm wrote:
> > commit e02b6d37706201456a69b1fecd0e54304bb8d0f5
> > Author: Arkadiusz Miśkiewicz <arekm at maven.pl>
> > Date: Mon Oct 20 19:45:36 2014 +0200
> >
> > - rel 2; disable unsecure protocols
> > (zlib: CRIME attack; SSLv2: uses md5; SSLv3: POODLE)
> > - enable enable-ec_nistp_64_gcc_128 on x86_64
> >
> > [...]
> >
> > + no-ssl2 \
> > + no-ssl3 \
>
> Tak nie może być. To, że SSL2 i SSL3 są niebezpieczne nie oznacza, że
> należy od razu wywalić dla nich support.
Co wcale nie oznacza, że należy ów support zostawiać.
> Te opcje usuwają również możliwość
> łączenia się z klienta s_client za pomocą SSL2/SSL3, a to jest potrzebne,
> chociażby po to, żeby sprawdzić czy dany serwis nie obsługuje przez
> przypadek SSL2/SSL3 (że nie wspomnę o tym, że część usług jeszcze chodzi
> na SSL3). Zresztą w przypadku serwera wywalanie tego też jest bez sensu,
> z analogicznych powodów. Ograniczanie dostępności protokołów powinno mieć
> miejsce na poziomie konfiguracji aplikacji, a nie fizycznym wywaleniu
> supportu z biblioteki.
Jak zwykle kwestia dyskusyjna. Część aplikacji nie ma możliwości konfiguracji
protokołów (np. wyszło przy okazji, że libghttp nawet nie korzystał z TLS
tylko jechał na SSLv2).
Debian np robi dokładnie w ten sposób - wyłącza na poziomie openssl tym samym
'wyłączając" wszystkim aplikacjom.
Od razu mówię, że nie upieram się na siłę.
Jak zwykle w PLD, jak ktoś potrzebuje to się zostawia... więc istnieje
możliwość powrotu do poprzedniej opcji.
Pozdrawiam,
--
Arkadiusz Miśkiewicz, arekm / ( maven.pl | pld-linux.org )
More information about the pld-devel-pl
mailing list