poodle and broken ssl alerts

[Maxim Dounin]

Hello!

On Thu, Dec 18, 2014 at 08:12:00PM +0300, Anton Yuzhaninov wrote:

> On 12/18/14 17:13, Maxim Dounin wrote:
> >В теории, такое может происходить и случайно - т.к. fallback
> >может случиться просто от того, что не удалось установить
> >соединение с первого раза.
> 
> Да, похоже так оно и происходит. Посмотрел дампы трафика - в них хендшейк
> обрывается по таймауту и следующая попытка идёт с TLS_FALLBACK_SCSV.
> 
> Но в дампе трафика встречаются Ecnripted Alert с TLS1.2 в то время как в
> логах кроме inappropriate fallback ошибок не видно. В случае inappropriate
> fallback версия должны быть меньше чем 1.2.

Ошибки логгируются на разных уровнях в зависимости от собственно 
ошибки.  Inappropriate fallback ты можешь видеть просто потому, 
что они логгируются на уровне crit в старых версиях, т.к. nginx их 
не ожидает увидеть.

> Было бы проще сравнивать лог nginx и дамп трафика, если в бы в error_log
> вместе с IP писался клиентский порт. Это сложно сделать?

Где-нибудь в ngx_http_log_error() следом за addr_text выводить, 
разобрав c->sockaddr.  Пример кода можно посмотреть в 
ngx_http_variable_remote_port().

-- 
Maxim Dounin
http://nginx.org/