poodle and broken ssl alerts

Anton Yuzhaninov citrin at citrin.ru
Thu Dec 18 10:19:03 UTC 2014


После обновления openssl с 1.0.1g до 1.0.1j
В логи стали в большом количестве сыпаться сообщения вида:

[crit] 767#0: *44215130 SSL_do_handshake() failed (SSL: error:140A1175:SSL 
routines:SSL_BYTES_TO_CIPHER_LIST:inappropriate fallback) while SSL handshaking, 
client: 192.0.0.225, server: 0.0.0.0:443

В то, что кто то пытается делать downgrade в таком масштабе я поверить не готов.
Скорее всего это несовместимость изменений в openssl с какими то клиентами.

Кто нибудь разбирался с этой проблемой? Возможно есть какой то workaround чтобы 
не терять этих клиентов?

Хорошая поддержка клиентов в моем случае важнее безопасности.



Подробная информация о списке рассылки nginx-ru