есть забавная корелляция, надстройка sksb.dll (от factura.ru) приводит к тому, что MSIE начинает общаться в SSLv3. в процентах это в районе нуля.
в абсолютных цифрах - сотни пользователей. 16 октября 2014 г., 10:05 пользователь Илья Шипицин <[email protected]> написал: > любопытства ради залогировали ssl_protocol, в общем SSLv3 встречается > у 0.1% пользователей, разброс операционок от WinXP до Win 8.1 > > причина, вероятно, в пользовательских антивирусах, которые MITM-ом > вклиниваются в TLS. > не думаю, чтобы пользователи принудительно убирали себе галочки с TLS > и оставляли только SSL > > 15 октября 2014 г., 19:32 пользователь Maxim Dounin > <[email protected]> написал: >> Hello! >> >> On Wed, Oct 15, 2014 at 04:04:01PM +0300, Gena Makhomed wrote: >> >>> Здравствуйте, All! >>> >>> http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_protocols >>> Default: ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; >>> >>> As most of you already know, there is an important SSLv3 vulnerability >>> (CVE-2014-3566 - see https://access.redhat.com/articles/1232123) , >>> known as Poodle. >>> >>> Возможно имеет смысл изменить значение по умолчанию для директивы >>> ssl_protocols, чтобы там было только "TLSv1 TLSv1.1 TLSv1.2" >>> или даже, только "TLSv1.1 TLSv1.2" ? >>> >>> Чтобы nginx был "secure by default", прямо "из коробки". >>> А кому очень надо SSLv2 / SSLv3 / TLSv1 - смогут включить их вручную. >> >> Убирать TLSv1 - совершенно точно очень плохая идея. Это, в >> частности, отсечёт OpenSSL старее 1.0.1, что выглядит, мягко >> говоря, преждевременно. >> >> Мысль убрать SSLv3 по умолчанию носится в воздухе, но я пока не >> уверен в правильности этого действия. >> >>> И второй вопрос, поскольку SSL уже фактически не осталось, >>> может быть имеет смысл все директивы ssl_******** переименовать >>> в tls_******** ? Так чтобы одновременно поддерживались и те и другие, >>> а со временем ssl_***** стали deprecated и потом removed ? >> >> Изменение названия на TLS - это политические реверансы времён >> стандартизации. Если же посмотреть в данные, то так называемый >> TLS, так называемой версии 1.0 - это SSL версии 3.1. Так и живём. >> Бегать по этим граблям лишний раз - IMHO, малопродуктивное >> занятие, пусть остаётся как есть. >> >> -- >> Maxim Dounin >> http://nginx.org/ >> >> _______________________________________________ >> nginx-ru mailing list >> [email protected] >> http://mailman.nginx.org/mailman/listinfo/nginx-ru _______________________________________________ nginx-ru mailing list [email protected] http://mailman.nginx.org/mailman/listinfo/nginx-ru
