CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.
Илья Шипицин
chipitsine at gmail.com
Thu Oct 16 04:05:27 UTC 2014
любопытства ради залогировали ssl_protocol, в общем SSLv3 встречается
у 0.1% пользователей, разброс операционок от WinXP до Win 8.1
причина, вероятно, в пользовательских антивирусах, которые MITM-ом
вклиниваются в TLS.
не думаю, чтобы пользователи принудительно убирали себе галочки с TLS
и оставляли только SSL
15 октября 2014 г., 19:32 пользователь Maxim Dounin
<mdounin at mdounin.ru> написал:
> Hello!
>
> On Wed, Oct 15, 2014 at 04:04:01PM +0300, Gena Makhomed wrote:
>
>> Здравствуйте, All!
>>
>> http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_protocols
>> Default: ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
>>
>> As most of you already know, there is an important SSLv3 vulnerability
>> (CVE-2014-3566 - see https://access.redhat.com/articles/1232123) ,
>> known as Poodle.
>>
>> Возможно имеет смысл изменить значение по умолчанию для директивы
>> ssl_protocols, чтобы там было только "TLSv1 TLSv1.1 TLSv1.2"
>> или даже, только "TLSv1.1 TLSv1.2" ?
>>
>> Чтобы nginx был "secure by default", прямо "из коробки".
>> А кому очень надо SSLv2 / SSLv3 / TLSv1 - смогут включить их вручную.
>
> Убирать TLSv1 - совершенно точно очень плохая идея. Это, в
> частности, отсечёт OpenSSL старее 1.0.1, что выглядит, мягко
> говоря, преждевременно.
>
> Мысль убрать SSLv3 по умолчанию носится в воздухе, но я пока не
> уверен в правильности этого действия.
>
>> И второй вопрос, поскольку SSL уже фактически не осталось,
>> может быть имеет смысл все директивы ssl_******** переименовать
>> в tls_******** ? Так чтобы одновременно поддерживались и те и другие,
>> а со временем ssl_***** стали deprecated и потом removed ?
>
> Изменение названия на TLS - это политические реверансы времён
> стандартизации. Если же посмотреть в данные, то так называемый
> TLS, так называемой версии 1.0 - это SSL версии 3.1. Так и живём.
> Бегать по этим граблям лишний раз - IMHO, малопродуктивное
> занятие, пусть остаётся как есть.
>
> --
> Maxim Dounin
> http://nginx.org/
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru at nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
Подробная информация о списке рассылки nginx-ru