Welcome! Log In Create A New Profile

Advanced

Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).

November 09, 2009 05:36AM
On Mon, Nov 09, 2009 at 01:10:27PM +0300, Maxim Dounin wrote:

> Hello!
>
> On Mon, Nov 09, 2009 at 11:02:17AM +0300, Igor Sysoev wrote:
>
> > On Mon, Nov 09, 2009 at 04:40:45AM +0300, Maxim Dounin wrote:
> >
> > > Hello!
> > >
> > > [...]
> > >
> > > > > Думаю, правильным решением будет просто дропать соединение в
> > > > > ngx_ssl_info_callback() по прописанному в патче условию.
> > > >
> > > > Новый патч, который делает это.
> > >
> > > Новый патч. На этот раз renegotiation запрещён только для
> > > серверных соединений.
> > >
> > > Для клиентских соединений не трогаем, ибо это без нужды ломает
> > > proxy_pass на https бекенды сконфигурированные для запроса
> > > сертификатов через renegotiation (e.g. Apache + per-location
> > > SSLVerifyClient). Без нужды - потому как сертификат бекенда nginx
> > > всё равно не проверяет.
> > >
> > > Следует иметь ввиду что использование openssl 0.9.8l на любой из
> > > сторон подобные конфигурации так или иначе сломает.
> >
> > Я думаю, можно запрещать renegotiation для всего, поскольку сам
> > nginx тоже не используется клиентский сертификат при работе с бэкендом.
>
> Проблема в том что в результате nginx просто не может работать с
> бекендами, на которых сказано:
>
> ...
> SSLVerifyClient none
>
> <Location /test/>
> SSLVerifyClient optional
> </Location>
> ...
>
> Про попытке запроса к /test/ апач запрашивает renegotiation - и
> привет. Причём соединение виснет и по info callback'у это не
> ловится. IMHO нет смысла ломать без нужды.

Ну так "SSLVerifyClient optional" всё равно работать не будет
и без запрета renegotiation у всех участников.

> Maxim Dounin
>
> p.s. Для серверных соединений ещё теоретически остаётся проблема
> Server Gated Certs (SGC) при работе со старыми браузерами с
> экспортными ограничениям, но вот на это IMHO стоит забить.

Насколько я понимаю, SGC работает без renegotiation.


--
Игорь Сысоев
http://sysoev.ru
Subject Author Posted

[PATCH] Disable SSL renegotiation (CVE-2009-3555).

Maxim Dounin November 06, 2009 08:38AM

Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).

Igor Sysoev November 06, 2009 09:02AM

Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).

Maxim Dounin November 06, 2009 09:50AM

Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).

Igor Sysoev November 06, 2009 12:06PM

Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).

Maxim Dounin November 06, 2009 03:48PM

Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).

Maxim Dounin November 07, 2009 10:04AM

Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).

Maxim Dounin November 08, 2009 08:48PM

Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).

Igor Sysoev November 09, 2009 03:12AM

Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).

Maxim Dounin November 09, 2009 05:16AM

Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).

Igor Sysoev November 09, 2009 05:36AM

Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).

Maxim Dounin November 09, 2009 06:18AM

Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).

Igor Sysoev November 09, 2009 06:56AM

Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).

Maxim Dounin November 09, 2009 07:26AM

Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).

Maxim Dounin November 09, 2009 02:14PM



Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 160
Record Number of Users: 8 on April 13, 2023
Record Number of Guests: 500 on July 15, 2024
Powered by nginx      Powered by FreeBSD      PHP Powered      Powered by MariaDB      ipv6 ready