poodle and broken ssl alerts

Anton Yuzhaninov citrin at citrin.ru
Thu Dec 18 17:12:00 UTC 2014


On 12/18/14 17:13, Maxim Dounin wrote:
> В теории, такое может происходить и случайно - т.к. fallback
> может случиться просто от того, что не удалось установить
> соединение с первого раза.

Да, похоже так оно и происходит. Посмотрел дампы трафика - в них хендшейк 
обрывается по таймауту и следующая попытка идёт с TLS_FALLBACK_SCSV.

Но в дампе трафика встречаются Ecnripted Alert с TLS1.2 в то время как в логах 
кроме inappropriate fallback ошибок не видно. В случае inappropriate fallback 
версия должны быть меньше чем 1.2.

Было бы проще сравнивать лог nginx и дамп трафика, если в бы в error_log вместе 
с IP писался клиентский порт. Это сложно сделать?



Подробная информация о списке рассылки nginx-ru