Trosku off-topic, ale ked sa bavime o SSL, tak davam do pozornosti deprecation certifikatov ktore pouzivaju SHA1 a ktore budu coskoro Microsoftom a Googlom neakceptovane (neviem ako Mozilla a ini).
Ak teda budete kupovat nove certifikaty alebo obnovovat existujuce, tak pokial budu aspon 2-rocne, tak ist do SHA1 certifikatov bude coskoro znamenat problemy a nutnost reissues, cize je dobre na to mysliet uz teraz (aj lacne RapidSSL je mozne vydat s pouzitim SHA-2). Ovsem problem moze nastat na WinXP bez SP3, ktore zial na IE pokial viem podporuju iba SHA1
http://blogs.technet.com/b/pki/archive/2013/11/12/sha1-deprecation-policy.as... http://blogs.technet.com/b/pki/archive/2013/11/12/sha1-deprecation-policy.aspx
http://googleonlinesecurity.blogspot.com/2014/09/gradually-sunsetting-sha-1.... http://googleonlinesecurity.blogspot.com/2014/09/gradually-sunsetting-sha-1.html
On 16 Oct 2014, at 12:25, Ondřej Caletka ondrej@caletka.cz wrote:
Dne 16.10.2014 11:28, Silvestr Hašek napsal(a):
Nejsem žádnej crypto člověk, jak je nazval snajpa, ale mně postup z referované kuchařky nefunguje (pro Dovecot).
SSLv3 jsem nakonec zakázal v direktivě ssl_protocols:
ssl_protocols = !SSLv2 !SSLv3
openssl s_client -ssl3 -connect server:993 (skonci bez uspechu) openssl s_client -connect server:993 (TLSv1.2 dovecot ready)
takže snad vpohodě ne?
Já myslím, že ano, zařídil jsem to stejně. Tady jsem dohledal hezkou kuchařku, jak povypínat SSLv3 ve všemožných službách:
Podle popisu to taky vypadá tak trochu na bouři ve sklenici vody, možnosti zneužití proti Heartbleedu čí Shellshocku jsou spíše teoretické; počátečních podmínek je příliš mnoho.
-- Ondřej Caletka
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list