Autore: Giuseppe De Marco Data: To: Flussi di ciotia. Oggetto: Re: [Ciotoflow] DROWN
Il 8 marzo 2016 22:06, int80h <int80h@???> ha scritto: > In effetti SSLv2 è deprecato dal 2011 [0], Wagner e Scneier ne
> evidenziavano le problematiche già dal 1997 [1] (quanto tempo!) e SSLv3
> stesso è considerato non sicuro da più di un anno [2] (anche questo è da
> leggere). Il fatto è che 11 milioni di siti https (spero che i dati
> siano falsati per motivi pubblicitari) siano vulnerabili a questo
> attacco è imbarazzante. In fondo se, per qualche oscuro motivo, non si
> volesse disabilitare SSLv2 basterebbe usare una chiave privata diversa
> per SSLv2 e TLS. Poi per chi è proprio accidioso può usare pure l'SSL
> Configuration Generator di Mozilla [3] :D
Il guaio è che diverse CA ancora producono certificati vulnerabili.