[packages/openssl] - rel 2; disable unsecure protocols (zlib: CRIME attack; SSLv2: uses md5; SSLv3: POODLE) - enable en

[Andrzej Zawadzki]

On 21.10.2014 14:09, Jacek Konieczny wrote:
> On 21/10/14 13:58, Adam Osuchowski wrote:
>> Tak nie może być. To, że SSL2 i SSL3 są niebezpieczne nie oznacza, że
>> należy od razu wywalić dla nich support. Te opcje usuwają również możliwość
>> łączenia się z klienta s_client za pomocą SSL2/SSL3, a to jest potrzebne,
>> chociażby po to, żeby sprawdzić czy dany serwis nie obsługuje przez
>> przypadek SSL2/SSL3 (że nie wspomnę o tym, że część usług jeszcze chodzi
>> na SSL3). Zresztą w przypadku serwera wywalanie tego też jest bez sensu,
>> z analogicznych powodów. Ograniczanie dostępności protokołów powinno mieć
>> miejsce na poziomie konfiguracji aplikacji, a nie fizycznym wywaleniu
>> supportu z biblioteki.
> +1
>
> Też mi się ten commit nie podobał… powiedziałbym, że to wręcz szalony
> pomysł.
>
> Biblioteka powinna implementować wszystkie protokoły i szyfry jakie
> umie, konfiguracja klientów i serwerów (także ta za-hard-kodowana w
> nich) dopiero może to ograniczać.
>
> Jedyne co można by, ewentualnie, w openssl zmienić do domyślny wybór
> protokołów i szyfrów. Ale i to może być ryzykowne – jak potem
> wytłumaczyć klientowi fakt, że coś „działało, a już nie działa”.
Oooo to to to,
i jeszcze - "a inne serwisy nadal działają więc co mi pan tu p..."

Już kilka telefonów dziś miałem.

BTW:IE7 i IE8 na XP nie działają z nowym opensslem...
Tak wiem, stare itd itd ale nie mam wpływu na nie swoje komputery, a z 
Don Kichotem nie jestem.

-- 
Andrzej Zawadzki