In effetti SSLv2 è deprecato dal 2011 [0], Wagner e Scneier ne
evidenziavano le problematiche già dal 1997 [1] (quanto tempo!) e SSLv3
stesso è considerato non sicuro da più di un anno [2] (anche questo è da
leggere). Il fatto è che 11 milioni di siti https (spero che i dati
siano falsati per motivi pubblicitari) siano vulnerabili a questo
attacco è imbarazzante. In fondo se, per qualche oscuro motivo, non si
volesse disabilitare SSLv2 basterebbe usare una chiave privata diversa
per SSLv2 e TLS. Poi per chi è proprio accidioso può usare pure l'SSL
Configuration Generator di Mozilla [3] :D
[0]
https://tools.ietf.org/html/rfc6176
[1]
https://www.schneier.com/cryptography/paperfiles/paper-ssl-revised.pdf
[2]
https://poodle.io/
[3]
https://mozilla.github.io/server-side-tls/ssl-config-generator/
Il 08/03/2016 21:40, Luca Bruno ha scritto:
> Interessante. Per la cronaca, chi usa debian/ubuntu e ha aggiornato openssl
> almeno dal 2010, non dovrebbe avere questo problema, visto che hanno
> rimosso SSLv2 direttamente nella libreria:
> https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=589706
>
> Infatti ho sempre problemi a fare la lista dei ciphers SSLv2 visto che non
> li trovo scritti da nessuna parte, neanche nelle manpage openssl :P
>
> On Tue, Mar 8, 2016 at 5:43 PM, <int80h@???> wrote:
>
>> Da leggere
>>
>> https://drownattack.com/
>> _______________________________________________
>> Ciotoflow mailing list
>> Ciotoflow@???
>> https://www.autistici.org/mailman/listinfo/ciotoflow
>>
>
>
>
>
>
> _______________________________________________
> Ciotoflow mailing list
> Ciotoflow@???
> https://www.autistici.org/mailman/listinfo/ciotoflow
>
