Jan Dušátko wrote:
A to mas na vsech strojich FreeBSD 10.0 a nebo na vsech strojich
zamerne pouzivas OpenSSL 1.0 z portu?
Pokud vim, tak FreeBSD 8.4 ani 9.2 (a starsi) nepouzivaji v base
OpenSSL 1.0, ale 0.9.8, kde tato chyba neni, takze tam bys musel mit
jedine OpenSSL z portu.
Pouzivam OpenSSL knihovny kvuli nekterym rozsirenim, ktere ve standardu
chybi. Jedna se jak o podporu sifrovacich algoritmu, tak standardizace a
kontrolnich mechanismu. I kdyz mne to ted stoji nervy vse diky
"nekontrolovanemu algoritmu" zkontrolovat.
Jinak zkus si na sve https pustit napriklad https://www.ssllabs.com/ssltest/
ssllabs znam, cas od casu tim nektere servery testuju, kvuli zakaznikum,
co musi splnovat nejake pseudo normy, jako treba PCI.
Nastavit v Apache "spravne" poradi pouzitych algoritmu neni zas tak
velky problem, takze v tomhle testu prochazi servery bez problemu a
jedine, co tam ted neni "zelene" je absence Forward Secrecy.
V tento moment me ale mnohem vic zajima:
This server is not vulnerable to the Heartbleed attack. (Experimental)
Takze ja se rozhodne nebudu bezhlave honit za nejnovejsima verzema SSL a
sbiranim bodiku v nejakem testu - a jak vidno, tenhle muj konzervatismus
se zrovna hodne vyplatil.
Mirek
--
Test na jeden z mnoha serveru:
Certificate 100
Protocol Support 70
Key Exchange 80
Cipher Strength 90
B grade ma kvuli Forward Secrecy, kdyz jsem testy delal posledne, tak
mel jeste A.
--
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l
