[PATCH] Disable SSL renegotiation (CVE-2009-3555).
Maxim Dounin
mdounin at mdounin.ru
Mon Nov 9 15:20:03 MSK 2009
Hello!
On Mon, Nov 09, 2009 at 02:50:52PM +0300, Igor Sysoev wrote:
[...]
> > > > p.s. Для серверных соединений ещё теоретически остаётся проблема
> > > > Server Gated Certs (SGC) при работе со старыми браузерами с
> > > > экспортными ограничениям, но вот на это IMHO стоит забить.
> > >
> > > Насколько я понимаю, SGC работает без renegotiation.
> >
> > Если верить README.GlobalID из поставки mod_ssl - он renegotiation
> > использует при первом запросе, проделывая его сразу после
> > исходного handshake'а (если видит сертификат с нужным
> > extKeyUsage). В последующих запросах renegotiation не
> > используется.
> >
> > Я не смог под рукой найти ни одного браузера с экспортными
> > ограничениями - так что сам не проверял... :)
>
> Полный renegotiation происходит только при Netscape International
> Setp-Up. Во время SGC nginx увидит завершённый handshake только
> уже после дополнительного renegotiation.
Ok, I see. Т.е. всё даже лучше чем я предполагал. Точно забить.
Maxim Dounin
More information about the nginx-ru
mailing list