[PATCH] Disable SSL renegotiation (CVE-2009-3555).

Maxim Dounin mdounin at mdounin.ru
Mon Nov 9 15:20:03 MSK 2009


Hello!

On Mon, Nov 09, 2009 at 02:50:52PM +0300, Igor Sysoev wrote:

[...]

> > > > p.s. Для серверных соединений ещё теоретически остаётся проблема 
> > > > Server Gated Certs (SGC) при работе со старыми браузерами с 
> > > > экспортными ограничениям, но вот на это IMHO стоит забить.
> > > 
> > > Насколько я понимаю, SGC работает без renegotiation.
> > 
> > Если верить README.GlobalID из поставки mod_ssl - он renegotiation 
> > использует при первом запросе, проделывая его сразу после 
> > исходного handshake'а (если видит сертификат с нужным 
> > extKeyUsage).  В последующих запросах renegotiation не 
> > используется.
> > 
> > Я не смог под рукой найти ни одного браузера с экспортными 
> > ограничениями - так что сам не проверял... :)
> 
> Полный renegotiation происходит только при Netscape International
> Setp-Up. Во время SGC nginx увидит завершённый handshake только
> уже после дополнительного renegotiation.

Ok, I see.  Т.е. всё даже лучше чем я предполагал.  Точно забить.

Maxim Dounin





More information about the nginx-ru mailing list