[vpsFree.cz: community-list] Zranitelnost v SSLv3

Ján Raška raskaj at gmail.com
Thu Oct 23 18:36:35 CEST 2014


Trosku off-topic, ale ked sa bavime o SSL, tak davam do pozornosti deprecation certifikatov ktore pouzivaju SHA1 a ktore budu coskoro Microsoftom a Googlom neakceptovane (neviem ako Mozilla a ini).

Ak teda budete kupovat nove certifikaty alebo obnovovat existujuce, tak pokial budu aspon 2-rocne, tak ist do SHA1 certifikatov bude coskoro znamenat problemy a nutnost reissues, cize je dobre na to mysliet uz teraz (aj lacne RapidSSL je mozne vydat s pouzitim SHA-2). Ovsem problem moze nastat na WinXP bez SP3, ktore zial na IE pokial viem podporuju iba SHA1

http://blogs.technet.com/b/pki/archive/2013/11/12/sha1-deprecation-policy.aspx <http://blogs.technet.com/b/pki/archive/2013/11/12/sha1-deprecation-policy.aspx>

http://googleonlinesecurity.blogspot.com/2014/09/gradually-sunsetting-sha-1.html <http://googleonlinesecurity.blogspot.com/2014/09/gradually-sunsetting-sha-1.html>

> On 16 Oct 2014, at 12:25, Ondřej Caletka <ondrej at caletka.cz> wrote:
> 
> Dne 16.10.2014 11:28, Silvestr Hašek napsal(a):
>> Nejsem žádnej crypto člověk, jak je nazval snajpa, ale mně postup z
>> referované kuchařky nefunguje (pro Dovecot).
>> 
>> SSLv3 jsem nakonec zakázal v direktivě ssl_protocols:
>> 
>> ssl_protocols = !SSLv2 !SSLv3
>> 
>> openssl s_client -ssl3 -connect server:993 (skonci bez uspechu)
>> openssl s_client -connect server:993 (TLSv1.2 dovecot ready)
>> 
>> takže snad vpohodě ne?
>> 
> 
> Já myslím, že ano, zařídil jsem to stejně. Tady jsem dohledal hezkou
> kuchařku, jak povypínat SSLv3 ve všemožných službách:
> 
> http://askubuntu.com/a/537197
> 
> Podle popisu to taky vypadá tak trochu na bouři ve sklenici vody,
> možnosti zneužití proti Heartbleedu čí Shellshocku jsou spíše
> teoretické; počátečních podmínek je příliš mnoho.
> 
> --
> Ondřej Caletka
> 
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20141023/156b2f8d/attachment-0002.html>


More information about the Community-list mailing list