SSL 3 is dead, killed by the POODLE attack

Maxim Dounin mdounin at mdounin.ru
Fri Oct 17 12:50:51 UTC 2014


Hello!

On Fri, Oct 17, 2014 at 03:18:30PM +0300, Gena Makhomed wrote:

> 
> Кстати, Ivan Ristić из SSL Labs считает, что:
> 
> SSL 3 is dead, killed by the POODLE attack
> https://community.qualys.com/blogs/securitylabs/2014/10/15/ssl-3-is-dead-killed-by-the-poodle-attack
> 
> И рекомендует всем системным администраторам:
> 
> [...] As a web site operator, you should disable SSL 3
> on your servers as soon as possible. You need to do this
> even if you support the most recent TLS version [...]

С тех пор, как Ivan это написал, прошло уже аж два дня.  За это 
время как минимум вышел OpenSSL с fallback protection, и 
нарисовалась свежая Opera с fallback protection и anti-POODLE 
record splitting.  Если развитие ситуации и дальше пойдёт такими 
темпами - то через пару недель про POODLE можно будет забыть, как 
в своё время забыли про BEAST.

-- 
Maxim Dounin
http://nginx.org/



Подробная информация о списке рассылки nginx-ru