[packages/openssl] - rel 2; disable unsecure protocols (zlib: CRIME attack; SSLv2: uses md5; SSLv3: POODLE) - enable en

Arkadiusz Miśkiewicz arekm at maven.pl
Tue Oct 21 14:13:49 CEST 2014


On Tuesday 21 of October 2014, Adam Osuchowski wrote:
> arekm wrote:
> > commit e02b6d37706201456a69b1fecd0e54304bb8d0f5
> > Author: Arkadiusz Miśkiewicz <arekm at maven.pl>
> > Date:   Mon Oct 20 19:45:36 2014 +0200
> > 
> >     - rel 2; disable unsecure protocols
> >     (zlib: CRIME attack; SSLv2: uses md5; SSLv3: POODLE)
> >     - enable enable-ec_nistp_64_gcc_128 on x86_64
> > 
> > [...]
> > 
> > +	no-ssl2 \
> > +	no-ssl3 \
> 
> Tak nie może być. To, że SSL2 i SSL3 są niebezpieczne nie oznacza, że
> należy od razu wywalić dla nich support.

Co wcale nie oznacza, że należy ów support zostawiać.

> Te opcje usuwają również możliwość
> łączenia się z klienta s_client za pomocą SSL2/SSL3, a to jest potrzebne,
> chociażby po to, żeby sprawdzić czy dany serwis nie obsługuje przez
> przypadek SSL2/SSL3 (że nie wspomnę o tym, że część usług jeszcze chodzi
> na SSL3). Zresztą w przypadku serwera wywalanie tego też jest bez sensu,
> z analogicznych powodów. Ograniczanie dostępności protokołów powinno mieć
> miejsce na poziomie konfiguracji aplikacji, a nie fizycznym wywaleniu
> supportu z biblioteki.

Jak zwykle kwestia dyskusyjna. Część aplikacji nie ma możliwości konfiguracji 
protokołów (np. wyszło przy okazji, że libghttp nawet nie korzystał z TLS 
tylko jechał na SSLv2).

Debian np robi dokładnie w ten sposób - wyłącza na poziomie openssl tym samym 
'wyłączając" wszystkim aplikacjom.

Od razu mówię, że nie upieram się na siłę.

Jak zwykle w PLD, jak ktoś potrzebuje to się zostawia... więc istnieje 
możliwość powrotu do poprzedniej opcji.

Pozdrawiam,
-- 
Arkadiusz Miśkiewicz, arekm / ( maven.pl | pld-linux.org )


More information about the pld-devel-pl mailing list