Re: [Ciotoflow] DROWN

This message is part of the following thread:
Mthe complete thread tree sorted by date
Mint80h at <-
M 
Delete this message

Reply to this message
Author: Giuseppe De Marco
Date:  
To: Flussi di ciotia.
Subject: Re: [Ciotoflow] DROWN
Il 8 marzo 2016 22:06, int80h <int80h@???> ha scritto:
> In effetti SSLv2 è deprecato dal 2011 [0], Wagner e Scneier ne
> evidenziavano le problematiche già dal 1997 [1] (quanto tempo!) e SSLv3
> stesso è considerato non sicuro da più di un anno [2] (anche questo è da
> leggere). Il fatto è che 11 milioni di siti https (spero che i dati
> siano falsati per motivi pubblicitari) siano vulnerabili a questo
> attacco è imbarazzante. In fondo se, per qualche oscuro motivo, non si
> volesse disabilitare SSLv2 basterebbe usare una chiave privata diversa
> per SSLv2 e TLS. Poi per chi è proprio accidioso può usare pure l'SSL
> Configuration Generator di Mozilla [3] :D


Il guaio è che diverse CA ancora producono certificati vulnerabili.
This message was posted to the following mailing lists:
ciotoflow
Mailing List Info | Nearby Messages		<-Re: [Ciotoflow] DROWN[Ciotoflow] Super-completa tabella comparativa di servizi VPN->
lists.autistici.org administrated by postmasterLurker (version 2.3)