<html><head><meta http-equiv="Content-Type" content="text/html charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">Trosku off-topic, ale ked sa bavime o SSL, tak davam do pozornosti deprecation certifikatov ktore pouzivaju SHA1 a ktore budu coskoro Microsoftom a Googlom neakceptovane (neviem ako Mozilla a ini).<div class=""><br class=""></div><div class="">Ak teda budete kupovat nove certifikaty alebo obnovovat existujuce, tak pokial budu aspon 2-rocne, tak ist do SHA1 certifikatov bude coskoro znamenat problemy a nutnost reissues, cize je dobre na to mysliet uz teraz (aj lacne RapidSSL je mozne vydat s pouzitim SHA-2). Ovsem problem moze nastat na WinXP bez SP3, ktore zial na IE pokial viem podporuju iba SHA1</div><div class=""><br class=""></div><div class=""><a href="http://blogs.technet.com/b/pki/archive/2013/11/12/sha1-deprecation-policy.aspx" class="">http://blogs.technet.com/b/pki/archive/2013/11/12/sha1-deprecation-policy.aspx</a></div><div class=""><br class=""></div><div class=""><a href="http://googleonlinesecurity.blogspot.com/2014/09/gradually-sunsetting-sha-1.html" class="">http://googleonlinesecurity.blogspot.com/2014/09/gradually-sunsetting-sha-1.html</a></div><div class=""><br class=""><div><blockquote type="cite" class=""><div class="">On 16 Oct 2014, at 12:25, Ondřej Caletka <<a href="mailto:ondrej@caletka.cz" class="">ondrej@caletka.cz</a>> wrote:</div><br class="Apple-interchange-newline"><div class="">Dne 16.10.2014 11:28, Silvestr Hašek napsal(a):<br class=""><blockquote type="cite" class="">Nejsem žádnej crypto člověk, jak je nazval snajpa, ale mně postup z<br class="">referované kuchařky nefunguje (pro Dovecot).<br class=""><br class="">SSLv3 jsem nakonec zakázal v direktivě ssl_protocols:<br class=""><br class="">ssl_protocols = !SSLv2 !SSLv3<br class=""><br class="">openssl s_client -ssl3 -connect server:993 (skonci bez uspechu)<br class="">openssl s_client -connect server:993 (TLSv1.2 dovecot ready)<br class=""><br class="">takže snad vpohodě ne?<br class=""><br class=""></blockquote><br class="">Já myslím, že ano, zařídil jsem to stejně. Tady jsem dohledal hezkou<br class="">kuchařku, jak povypínat SSLv3 ve všemožných službách:<br class=""><br class=""><a href="http://askubuntu.com/a/537197" class="">http://askubuntu.com/a/537197</a><br class=""><br class="">Podle popisu to taky vypadá tak trochu na bouři ve sklenici vody,<br class="">možnosti zneužití proti Heartbleedu čí Shellshocku jsou spíše<br class="">teoretické; počátečních podmínek je příliš mnoho.<br class=""><br class="">--<br class="">Ondřej Caletka<br class=""><br class="">_______________________________________________<br class="">Community-list mailing list<br class="">Community-list@lists.vpsfree.cz<br class="">http://lists.vpsfree.cz/listinfo/community-list<br class=""></div></blockquote></div><br class=""></div></body></html>