<br>So nginx should be immune from this exploit as long you haven't modified source to re-enable renegotiation?<br><span style="font-family:Prelude, Verdana, san-serif;"><br><br></span><span id="signature"><div style="font-family: arial, sans-serif; font-size: 12px;color: #999999">-- Sent from my HP TouchPad</div></span><span style="color:navy; font-family:Prelude, Verdana, san-serif; "><hr align="left" style="width:75%">On Oct 26, 2011 1:35 AM, Maxim Dounin <mdounin@mdounin.ru> wrote: <br></span>Hello!
<br>
<br>On Tue, Oct 25, 2011 at 10:58:33PM -0400, Eric Griffith wrote:
<br>
<br>> http://www.h-online.com/security/news/item/New-denial-of-service-tool-knocks-out-encrypting-servers-1366564.html
<br>> 
<br>> I link the article to make sure everyone see's it; but also to frame a
<br>> question. The "Fix" seems to be to simply disable SSL-Renegotiation so
<br>> that its not hammered over and over. The question: How do you disable
<br>> SSL Renegotiation on Nginx? I tried googling "Nginx Disable SSL
<br>> Renegotiation" but all that came back was patches to add the ability
<br>> TO disable it in Nginx, no actual config option. Anyone know?
<br>
<br>Renegotiation is unconditionally disabled since nginx 0.8.23 / 
<br>0.7.64, see CHANGES:
<br>
<br>Changes with nginx 0.8.23
<br>11 Nov 2009
<br>
<br>    *) Security: now SSL/TLS renegotiation is disabled.
<br>
<br>Changes with nginx 0.7.64
<br>16 Nov 2009
<br>
<br>    *) Security: now SSL/TLS renegotiation is disabled.
<br>
<br>Maxim Dounin
<br>
<br>_______________________________________________
<br>nginx mailing list
<br>nginx@nginx.org
<br>http://mailman.nginx.org/mailman/listinfo/nginx