arekm wrote: > commit e02b6d37706201456a69b1fecd0e54304bb8d0f5 > Author: Arkadiusz Miśkiewicz <[email protected]> > Date: Mon Oct 20 19:45:36 2014 +0200 > > - rel 2; disable unsecure protocols > (zlib: CRIME attack; SSLv2: uses md5; SSLv3: POODLE) > - enable enable-ec_nistp_64_gcc_128 on x86_64 > > [...] > > + no-ssl2 \ > + no-ssl3 \
Tak nie może być. To, że SSL2 i SSL3 są niebezpieczne nie oznacza, że należy od razu wywalić dla nich support. Te opcje usuwają również możliwość łączenia się z klienta s_client za pomocą SSL2/SSL3, a to jest potrzebne, chociażby po to, żeby sprawdzić czy dany serwis nie obsługuje przez przypadek SSL2/SSL3 (że nie wspomnę o tym, że część usług jeszcze chodzi na SSL3). Zresztą w przypadku serwera wywalanie tego też jest bez sensu, z analogicznych powodów. Ograniczanie dostępności protokołów powinno mieć miejsce na poziomie konfiguracji aplikacji, a nie fizycznym wywaleniu supportu z biblioteki. _______________________________________________ pld-devel-pl mailing list [email protected] http://lists.pld-linux.org/mailman/listinfo/pld-devel-pl
