CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.
Gena Makhomed
gmm at csdoc.com
Wed Oct 15 13:04:01 UTC 2014
Здравствуйте, All!
http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_protocols
Default: ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
As most of you already know, there is an important SSLv3 vulnerability
(CVE-2014-3566 - see https://access.redhat.com/articles/1232123) ,
known as Poodle.
Возможно имеет смысл изменить значение по умолчанию для директивы
ssl_protocols, чтобы там было только "TLSv1 TLSv1.1 TLSv1.2"
или даже, только "TLSv1.1 TLSv1.2" ?
Чтобы nginx был "secure by default", прямо "из коробки".
А кому очень надо SSLv2 / SSLv3 / TLSv1 - смогут включить их вручную.
И второй вопрос, поскольку SSL уже фактически не осталось,
может быть имеет смысл все директивы ssl_******** переименовать
в tls_******** ? Так чтобы одновременно поддерживались и те и другие,
а со временем ssl_***** стали deprecated и потом removed ?
Аналогично, "ssl" => "tls" или "ssl" => "secure"
в параметре директивы listen.
"HTTPS" ведь расшифровывается как "HTTP Secure".
--
Best regards,
Gena
Подробная информация о списке рассылки nginx-ru