[packages/openssl] - rel 2; disable unsecure protocols (zlib: CRIME attack; SSLv2: uses md5; SSLv3: POODLE) - enable en

[Adam Osuchowski]

Arkadiusz Miśkiewicz wrote:
> Co wcale nie oznacza, że należy ów support zostawiać.

Co najmniej psuje to w drastyczny sposób kompatybilność i stan obecny.

> Jak zwykle kwestia dyskusyjna. Część aplikacji nie ma możliwości konfiguracji 
> protokołów (np. wyszło przy okazji, że libghttp nawet nie korzystał z TLS 
> tylko jechał na SSLv2).

IMHO to wina libghttp i jego by trzeba było spatchować zamiast openssla.
Ktoś jeszcze zna jakieś takie pakiety, który zachowują się podobnie?
BTW, jak taki soft nie używa w ogóle TLSa to po wywaleniu SSLi z openssla
w ogóle przestanie działać.

> Debian np robi dokładnie w ten sposób - wyłącza na poziomie openssl tym samym 
> 'wyłączając" wszystkim aplikacjom.

To, że debian robi zamordyzm nie oznacza, że PLD też musi. Podałem przykład
gdzie to jest problematyczne (i mówie to z własnego doswiadczenia). Usunięcie
supportu z klienta może dać złudną nadzieję, że serwer jest poprawnie
skonfigurowany.

> Od razu mówię, że nie upieram się na siłę.
> 
> Jak zwykle w PLD, jak ktoś potrzebuje to się zostawia... więc istnieje 
> możliwość powrotu do poprzedniej opcji.

To prosiłbym o przywrócenie poprzedniego stanu.