Re: TLS пересогласование
Alex Sergeyev
asergeyev на dyn.com
Вт Авг 10 22:03:44 MSD 2010
Да, версии до 0.9.8l подвержены проблеме, 0.9.8m частично может делать
secure renegotiation, наверное стоит обновляться до новейшей версии
всё-таки, кто знает что там ещё исправлено
Описание атаки:
http://www.educatedguesswork.org/2009/11/understanding_the_tls_renegoti.html
On Wed, 2010-08-11 at 00:45 +0700, Igor Vavrjin wrote:
> Здравствуйте, Gena.
>
> Вы писали 11 августа 2010 г., 0:35:55:
>
> > On 10.08.2010 20:11, Igor Vavrjin wrote:
>
> >> Опера 10.60 при https соединении говорит вот это: "Сервер не
> >> поддерживает безопасное пересогласование TLS. Владельцу сайта
> >> желательно обновить сервер."
> >>
> >> Что бы это могло означать? Это проблема nginx или проблема оперы :)?
> >> Просто как-то не солидно выглядит.
>
> > server does not support RFC 5746, see CVE-2009-3555
>
> >> PS версия nginx 0.8.46
> >> SSL сертификат подтвержденный.
>
> > при сборке nginx надо использовать OpenSSL библиотеку,
> > в которой нет этой уязвимости, сам nginx тут ни при чем.
>
>
> Чтобы собрать nginx с модулем ssl необходима библиотека OpenSSL, так
> что он собран с ее помощью, видимо она какая-то устаревшая или как?
>
Подробная информация о списке рассылки nginx-ru