<html><head><meta http-equiv="Content-Type" content="text/html charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;"><br><div><div>On 10 Apr 2014, at 12:47, Maxim Dounin <<a href="mailto:mdounin@mdounin.ru">mdounin@mdounin.ru</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div style="font-size: 14px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;">Hello!<br><br>On Thu, Apr 10, 2014 at 07:24:22AM +0100, Anatoly Mikhailov wrote:<br><br><blockquote type="cite">на данный момент меня интересует только необходимость заказа новых ключей,<br>я правильно понимаю, при включенном forward secrecy приватные ключи утечь не могли?<br></blockquote><br>Нет, вероятность утекания приватных ключей от включённости forward<span class="Apple-converted-space"> </span><br>secrecy никак не зависит.<br><br>Отдельный вопрос - какова эта самая вероятность.  <br></div></blockquote><div><br></div><div>ребята из CloudFlare решили проверить эту вероятность экспериментальным путем</div><div><a href="https://www.cloudflarechallenge.com/heartbleed">https://www.cloudflarechallenge.com/heartbleed</a></div><br><blockquote type="cite"><div style="font-size: 14px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;"><br><blockquote type="cite"><br>Анатолий<br><br>On 10 Apr 2014, at 05:26, Илья Шипицин <<a href="mailto:chipitsine@gmail.com">chipitsine@gmail.com</a>> wrote:<br><br><blockquote type="cite">при включенном forward secrecy наличия закрытого ключа (у злоумышленника) недостаточно для расшифровки потока. от атаки на память сервера это не защищает<br><br>четверг, 10 апреля 2014 г. пользователь Anatoly Mikhailov написал:<br>Если SSL ciphers оставались стандартные (ssl_ciphers: дефолтное значение) на Nginx 1.3.14,<br>то Forward Secrecy был включен.  Вопрос: надо ли генерить CSR и заказывать новые SSL ключи<br>или Forward Secrecy помог избежать полной утечки приватных ключей?<br><br>Анатолий<br><br><br>On 09 Apr 2014, at 16:46, Anton Yuzhaninov <<a href="mailto:citrin@citrin.ru">citrin@citrin.ru</a>> wrote:<br><br><blockquote type="cite">On 04/09/14 13:41, Vladislav Shabanov wrote:<br><blockquote type="cite">В типовых настройках конфигов при таких вот битых обращениях ни одной строчки в лог<br>не пишется. Что нужно сделать, чтобы в логах nginX были видны такие обращения?<br></blockquote><br>Если очень хочется знать о безуспешных аттаках, то лучше использовать что то типа SNORT. И про heartbleed он должен знать.<br><br>_______________________________________________<br>nginx-ru mailing list<br><a href="mailto:nginx-ru@nginx.org">nginx-ru@nginx.org</a><br>http://mailman.nginx.org/mailman/listinfo/nginx-ru<br></blockquote><br>_______________________________________________<br>nginx-ru mailing list<br><a href="mailto:nginx-ru@nginx.org">nginx-ru@nginx.org</a><br>http://mailman.nginx.org/mailman/listinfo/nginx-ru<br>_______________________________________________<br>nginx-ru mailing list<br>nginx-ru@nginx.org<br>http://mailman.nginx.org/mailman/listinfo/nginx-ru<br></blockquote><br></blockquote><br><blockquote type="cite">_______________________________________________<br>nginx-ru mailing list<br><a href="mailto:nginx-ru@nginx.org">nginx-ru@nginx.org</a><br>http://mailman.nginx.org/mailman/listinfo/nginx-ru<br></blockquote><br><br>--<span class="Apple-converted-space"> </span><br>Maxim Dounin<br><a href="http://nginx.org/">http://nginx.org/</a><br><br>_______________________________________________<br>nginx-ru mailing list<br><a href="mailto:nginx-ru@nginx.org">nginx-ru@nginx.org</a><br><a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a></div></blockquote></div><br></body></html>