On 16.10.2014 16:43, Maxim Dounin wrote:
SSL 3.0 Fallback protection
===========================
Severity: Medium
OpenSSL has added support for TLS_FALLBACK_SCSV to allow applications
to block the ability for a MITM attacker to force a protocol
downgrade.
Кто-нибудь подскажет, можно ли это включить в nginx и как?
Это не надо никак включать в nginx, оно заработает само после
обновления OpenSSL'я. (При условии, естественно, что клиент его
тоже умеет.)
Кстати, тут есть еще один нюанс. Если клиент умеет TLSv1.1 и TLSv1,
а на сервере включено только TLSv1.2 и TLSv1 и если они оба умеют
TLS_FALLBACK_SCSV - тогда The two will never talk to each other.
Подробности:
http://www.exploresecurity.com/poodle-and-the-tls_fallback_scsv-remedy/
Поэтому - будет опасно на сервере включать поддержку TLSv1.2 и TLSv1
и при этом выключать TLSv1.1, если сервер умеет TLS_FALLBACK_SCSV
- похоже что это еще один повод для warning`а при тесте конфига.
--
Best regards,
Gena
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
