15 Oct
2014
15 Oct
'14
5:58 p.m.
Ahoj,
díky za rychlou informaci všem členům :-) Ja mam na serveru nginx a udelal
jsem jednoduchou zmenu:
pred:
ssl_protocols SSLv2 SSLv3 TLSv1;
po:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2
A poznámka: Ten testovač na http://poodlebleed.com/ se mi nejak nepozdává.
Vrátil mi pro jeden server 2x ruznou odpoved (jednou, že je vše ok, podruhe
pak že není) anebo pro verzi s www hlasil vporadku a verze bez www byla
zranitelna. Tak nevim.
Jistejsi by mohlo byt:
openssl s_client -ssl3 -connect www.google.com:443 ;)
Hinza
Dne 15. října 2014 19:15 Petr Krcmar <petr.krcmar(a)vpsfree.cz> napsal(a):
Ahoj, byla objevena nová zranitelnost v SSLv3. Jedná
se o starý
protokol, který už byl nahrazen moderním TLS, ale některé servery ho
stále podporují. V takovém případě se dá udělat downgrade attack,
přesvědčit server k použití SSLv3 a pak se dostat ke komunikaci. Popis:
http://www.root.cz/zpravicky/poodlebleed-kriticka-chyba-ve-starem-ssl-3-0/
Info je na webu http://poodlebleed.com/ kde je i možnost si server
otestovat. Doporučuji nastavení serveru provést podle příručky na
https://bettercrypto.org/ kde jsou vystavené bezpečné kombinace voleb,
které vedou k nejbezpečnějšímu a zároveň rozumně použitelnému kompromisu.
--
Petr Krčmář
vpsFree.cz
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list