вы можете пообщаться на тему здравого смысла с разработчиками RFC по SSL/TLS. кажется, что они не всегда исходят от здравого смысла.
например, какая-либо сигнализация, доступная пользователю, возможно уже после установления соединения. т.е., если одна сторона принципиально хочет SSLv3, а другая TLS1.2, то в браузере будет "CANNOT CONNECT" без объяснения причин. и это by design. но слава богу, вы можете оставить включенным SSLv3 и на основании переменной $ssl_protocol в этом случае выдавать заранее заготовленную страницу "вам необходимо поменять настройки браузера" вопрос, делать ли сброс подключения на SSLv3 или как-то особым образом его обрабатывать - полностью в ваших руках 19 октября 2014 г., 22:55 пользователь Gena Makhomed <g...@csdoc.com> написал: > On 17.10.2014 16:24, Maxim Dounin wrote: > >>> Кроме самых новых версий Firefox/Chrome на руках и пользователей >>> остается ведь очень много и других, более старых версий браузеров. >>> Которые умеют TLSv1 и которым для нормальной работы не нужен SSLv3. >> >> >> Браузер, который не обновляют - это браузер, рассматривать который >> с точки зрения безопасности достаточно бессмысленно, он всё равно >> дыряв, так или иначе. И хорошо, если в качестве дырки будет >> выступать POODLE, а не remote code execution. >> >> С точки зрения безопасности имеет смысл рассматривать только >> актуальные версии современных браузеров. И тут уже, судя по >> всему, проблема решена как минимум в Chrome и Opera[1], и скоро >> будет решена в Firefox. Ждём Safari и IE. >> >> [1] >> http://blogs.opera.com/security/2014/10/security-changes-opera-25-poodle-attacks/ >> > > Почему оставление включенным по умолчанию уязвимого протокола SSLv3 > выглядит более предпочитетельным вариантом, если "с точки зрения > безопасности" старых версий браузеров как бы и не существует? > > Буква 'S' в аббревиатурах "HTTPS" и "SSL" обозначает слово "Secure". > > Разве не лучше сделать сброс подключения по протоколу SSLv3 вместо > того, чтобы делать вид, что обмен данными между клиентом и сервером > надежно зашифрован и скрыт от посторонних глаз. Ведь там могут быть, > например, данные кредитных карт или другая sensitive information, > которая крайне не желательна к попаданию в руки man-in-the-middle. > > -- > Best regards, > Gena > > > _______________________________________________ > nginx-ru mailing list > nginx-ru@nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru _______________________________________________ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru