Welcome! Log In Create A New Profile

Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.

Forum List Message List New Topic Print View

Gena Makhomed

October 15, 2014 12:08PM

On 15.10.2014 16:32, Maxim Dounin wrote:

>> http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_protocols
>> Default: ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
>>
>> As most of you already know, there is an important SSLv3 vulnerability
>> (CVE-2014-3566 - see https://access.redhat.com/articles/1232123) ,
>> known as Poodle.
>>
>> Возможно имеет смысл изменить значение по умолчанию для директивы
>> ssl_protocols, чтобы там было только "TLSv1 TLSv1.1 TLSv1.2"
>> или даже, только "TLSv1.1 TLSv1.2" ?
>>
>> Чтобы nginx был "secure by default", прямо "из коробки".
>> А кому очень надо SSLv2 / SSLv3 / TLSv1 - смогут включить их вручную.
>
> Убирать TLSv1 - совершенно точно очень плохая идея. Это, в
> частности, отсечёт OpenSSL старее 1.0.1, что выглядит, мягко
> говоря, преждевременно.
>
> Мысль убрать SSLv3 по умолчанию носится в воздухе, но я пока не
> уверен в правильности этого действия.

Древней версии IE 6.0 много только в Китае:
https://www.modern.ie/en-us/ie6countdown

- Таким образом они будут вынуждены поставить себе
на Windows XP более новые/современные версии браузеров.
Тот же Firefox или Chromium/Chrome/Opera. Давно пора.

Потому что в версии IE 6.0 очень много уязвимостей.
Из-за чего - в Китае есть очень много виндовых ботнетов
из зомби-машин. Заражаются они в интернете (в том числе)
через уязвимости в браузере или уязвимые плагины к нему.

Создатели сайтов будут очень рады, если им не придется
больше поддерживать (древние версии) Internet Explorer.

Mozilla в Firefox поддержку SSL 3.0 выключит по-умолчанию:
http://www.opennet.ru/opennews/art.shtml?num=40833
Новый вид атаки на HTTPS ставит под вопрос дальнейшее существование SSL 3.0

>> И второй вопрос, поскольку SSL уже фактически не осталось,
>> может быть имеет смысл все директивы ssl_******** переименовать
>> в tls_******** ? Так чтобы одновременно поддерживались и те и другие,
>> а со временем ssl_***** стали deprecated и потом removed ?
>
> Изменение названия на TLS - это политические реверансы времён
> стандартизации. Если же посмотреть в данные, то так называемый
> TLS, так называемой версии 1.0 - это SSL версии 3.1. Так и живём.
> Бегать по этим граблям лишний раз - IMHO, малопродуктивное
> занятие, пусть остаётся как есть.
>

Понял, спасибо.

--
Best regards,
Gena

_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Reply Quote

RSS

Subject	Author	Posted
CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Gena Makhomed	October 15, 2014 09:06AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Maxim Dounin	October 15, 2014 09:34AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Gena Makhomed	October 15, 2014 12:08PM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Maxim Dounin	October 15, 2014 01:42PM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Илья Шипицин	October 16, 2014 12:08AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	mente	October 16, 2014 04:16AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Maxim Dounin	October 16, 2014 09:46AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Gena Makhomed	October 16, 2014 03:50PM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Gena Makhomed	October 16, 2014 03:18PM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Maxim Dounin	October 16, 2014 04:38PM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Gena Makhomed	October 17, 2014 07:36AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Maxim Dounin	October 17, 2014 09:26AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Gena Makhomed	October 19, 2014 12:56PM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Maxim Dounin	October 20, 2014 12:16AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	mva	October 20, 2014 01:28AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Илья Шипицин	October 20, 2014 04:40AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Илья Шипицин	October 16, 2014 12:06AM
Re[2]: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Михаил Монашёв	October 16, 2014 04:06AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Илья Шипицин	October 20, 2014 04:48AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Aleksandr Sytar	October 16, 2014 07:36AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	igor.goncharenko	October 17, 2014 03:37AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Maxim Dounin	October 17, 2014 09:26AM

Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 304

Record Number of Users: 8 on April 13, 2023

Record Number of Guests: 421 on December 02, 2018