Hello! On Fri, Oct 17, 2014 at 02:34:38PM +0300, Gena Makhomed wrote:
> On 16.10.2014 23:36, Maxim Dounin wrote: > > >>>>>Мысль убрать SSLv3 по умолчанию носится в воздухе, > >>>>>но я пока не уверен в правильности этого действия. > >>>> > >>>>Древней версии IE 6.0 много только в Китае: > >>>>https://www.modern.ie/en-us/ie6countdown > >>> > >>>SSLv3 - это, как показывает практика, не только IE6. Только в > >>>рамках нашего маленького офиса уже есть жертвы - у коллеги > >>>отвалился IRC-клиент в связи с запретом SSLv3 на серверной > >>>стороне. При этом более или менее очевидно, что проблемы > >>>при использовании IRС - нет. > > Разве IRC-клиент подключается к nginx по протоколу http/https? Это к вопросу о том, что запрет SSLv3 имеет смысл не всегда, и может выйти боком в самых неожиданных местах. [...] > Может ли nginx определить, что к нему пытаются подключиться по SSLv3, > и в этом случае обработать запрос клиента в другом server, > в котором вместо сайта будет инструкция по включению TLSv1 > в настройках клиентского браузера (Internet Explorer 6.0) > или рекомендация обновить браузер / обновить антивирус ? Есть переменная $ssl_protocol, по которой можно сделать условную обработку, и показать желаемую страницу. Документация доступна по адресу http://nginx.org/r/$ssl_protocol. [...] > >Но, если проблема fallback'а таки будет решена, то нет особых > >причин это делать рано. > > Кроме самых новых версий Firefox/Chrome на руках и пользователей > остается ведь очень много и других, более старых версий браузеров. > Которые умеют TLSv1 и которым для нормальной работы не нужен SSLv3. Браузер, который не обновляют - это браузер, рассматривать который с точки зрения безопасности достаточно бессмысленно, он всё равно дыряв, так или иначе. И хорошо, если в качестве дырки будет выступать POODLE, а не remote code execution. С точки зрения безопасности имеет смысл рассматривать только актуальные версии современных браузеров. И тут уже, судя по всему, проблема решена как минимум в Chrome и Opera[1], и скоро будет решена в Firefox. Ждём Safari и IE. [1] http://blogs.opera.com/security/2014/10/security-changes-opera-25-poodle-attacks/ -- Maxim Dounin http://nginx.org/ _______________________________________________ nginx-ru mailing list [email protected] http://mailman.nginx.org/mailman/listinfo/nginx-ru
