Hello! On Wed, Oct 15, 2014 at 04:04:01PM +0300, Gena Makhomed wrote:
> Здравствуйте, All! > > http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_protocols > Default: ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; > > As most of you already know, there is an important SSLv3 vulnerability > (CVE-2014-3566 - see https://access.redhat.com/articles/1232123) , > known as Poodle. > > Возможно имеет смысл изменить значение по умолчанию для директивы > ssl_protocols, чтобы там было только "TLSv1 TLSv1.1 TLSv1.2" > или даже, только "TLSv1.1 TLSv1.2" ? > > Чтобы nginx был "secure by default", прямо "из коробки". > А кому очень надо SSLv2 / SSLv3 / TLSv1 - смогут включить их вручную. Убирать TLSv1 - совершенно точно очень плохая идея. Это, в частности, отсечёт OpenSSL старее 1.0.1, что выглядит, мягко говоря, преждевременно. Мысль убрать SSLv3 по умолчанию носится в воздухе, но я пока не уверен в правильности этого действия. > И второй вопрос, поскольку SSL уже фактически не осталось, > может быть имеет смысл все директивы ssl_******** переименовать > в tls_******** ? Так чтобы одновременно поддерживались и те и другие, > а со временем ssl_***** стали deprecated и потом removed ? Изменение названия на TLS - это политические реверансы времён стандартизации. Если же посмотреть в данные, то так называемый TLS, так называемой версии 1.0 - это SSL версии 3.1. Так и живём. Бегать по этим граблям лишний раз - IMHO, малопродуктивное занятие, пусть остаётся как есть. -- Maxim Dounin http://nginx.org/ _______________________________________________ nginx-ru mailing list [email protected] http://mailman.nginx.org/mailman/listinfo/nginx-ru
