CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.

Илья Шипицин chipitsine at gmail.com
Mon Oct 20 08:46:52 UTC 2014


есть забавная корелляция, надстройка sksb.dll (от factura.ru) приводит
к тому, что MSIE начинает общаться в SSLv3.
в процентах это в районе нуля.

в абсолютных цифрах - сотни пользователей.

16 октября 2014 г., 10:05 пользователь Илья Шипицин
<chipitsine at gmail.com> написал:
> любопытства ради залогировали ssl_protocol, в общем SSLv3 встречается
> у 0.1% пользователей, разброс операционок от WinXP до Win 8.1
>
> причина, вероятно, в пользовательских антивирусах, которые MITM-ом
> вклиниваются в TLS.
> не думаю, чтобы пользователи принудительно убирали себе галочки с TLS
> и оставляли только SSL
>
> 15 октября 2014 г., 19:32 пользователь Maxim Dounin
> <mdounin at mdounin.ru> написал:
>> Hello!
>>
>> On Wed, Oct 15, 2014 at 04:04:01PM +0300, Gena Makhomed wrote:
>>
>>> Здравствуйте, All!
>>>
>>> http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_protocols
>>> Default: ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
>>>
>>> As most of you already know, there is an important SSLv3 vulnerability
>>> (CVE-2014-3566 - see https://access.redhat.com/articles/1232123) ,
>>> known as Poodle.
>>>
>>> Возможно имеет смысл изменить значение по умолчанию для директивы
>>> ssl_protocols, чтобы там было только "TLSv1 TLSv1.1 TLSv1.2"
>>> или даже, только "TLSv1.1 TLSv1.2" ?
>>>
>>> Чтобы nginx был "secure by default", прямо "из коробки".
>>> А кому очень надо SSLv2 / SSLv3 / TLSv1 - смогут включить их вручную.
>>
>> Убирать TLSv1 - совершенно точно очень плохая идея.  Это, в
>> частности, отсечёт OpenSSL старее 1.0.1, что выглядит, мягко
>> говоря, преждевременно.
>>
>> Мысль убрать SSLv3 по умолчанию носится в воздухе, но я пока не
>> уверен в правильности этого действия.
>>
>>> И второй вопрос, поскольку SSL уже фактически не осталось,
>>> может быть имеет смысл все директивы ssl_******** переименовать
>>> в tls_******** ? Так чтобы одновременно поддерживались и те и другие,
>>> а со временем ssl_***** стали deprecated и потом removed ?
>>
>> Изменение названия на TLS - это политические реверансы времён
>> стандартизации.  Если же посмотреть в данные, то так называемый
>> TLS, так называемой версии 1.0 - это SSL версии 3.1.  Так и живём.
>> Бегать по этим граблям лишний раз - IMHO, малопродуктивное
>> занятие, пусть остаётся как есть.
>>
>> --
>> Maxim Dounin
>> http://nginx.org/
>>
>> _______________________________________________
>> nginx-ru mailing list
>> nginx-ru at nginx.org
>> http://mailman.nginx.org/mailman/listinfo/nginx-ru


Подробная информация о списке рассылки nginx-ru