Trosku off-topic, ale ked sa bavime o SSL, tak davam do pozornosti deprecation certifikatov ktore pouzivaju SHA1 a ktore budu coskoro Microsoftom a Googlom neakceptovane (neviem ako Mozilla a ini).

Ak teda budete kupovat nove certifikaty alebo obnovovat existujuce, tak pokial budu aspon 2-rocne, tak ist do SHA1 certifikatov bude coskoro znamenat problemy a nutnost reissues, cize je dobre na to mysliet uz teraz (aj lacne RapidSSL je mozne vydat s pouzitim SHA-2). Ovsem problem moze nastat na WinXP bez SP3, ktore zial na IE pokial viem podporuju iba SHA1

http://blogs.technet.com/b/pki/archive/2013/11/12/sha1-deprecation-policy.aspx

http://googleonlinesecurity.blogspot.com/2014/09/gradually-sunsetting-sha-1.html

On 16 Oct 2014, at 12:25, Ondřej Caletka <ondrej@caletka.cz> wrote:

Dne 16.10.2014 11:28, Silvestr Hašek napsal(a):
Nejsem žádnej crypto člověk, jak je nazval snajpa, ale mně postup z
referované kuchařky nefunguje (pro Dovecot).

SSLv3 jsem nakonec zakázal v direktivě ssl_protocols:

ssl_protocols = !SSLv2 !SSLv3

openssl s_client -ssl3 -connect server:993 (skonci bez uspechu)
openssl s_client -connect server:993 (TLSv1.2 dovecot ready)

takže snad vpohodě ne?


Já myslím, že ano, zařídil jsem to stejně. Tady jsem dohledal hezkou
kuchařku, jak povypínat SSLv3 ve všemožných službách:

http://askubuntu.com/a/537197

Podle popisu to taky vypadá tak trochu na bouři ve sklenici vody,
možnosti zneužití proti Heartbleedu čí Shellshocku jsou spíše
teoretické; počátečních podmínek je příliš mnoho.

--
Ondřej Caletka

_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list