Доступен корректирующий выпуск криптографической библиотеки OpenSSL 1.1.1g, в котором устранена уязвимость (CVE-2020-1967), приводящая к отказу в обслуживании при попытке согласовать соединение TLS 1.3 с подконтрольным злоумышленнику сервером или клиентом. Уязвимости присвоен высокий уровень опасности...Подробнее: https://www.opennet.me/opennews/art.shtml?num=52782
Какова вероятность, что все эти крупные игроки (типа мс), до сих пор юзающие 1.2 (полную уязвимых и устаревших возможностей), о чём то таком знали? В частности, о наличии сомнительных "расширений"? Как часто проводится аудит более ранних, чем 1.3, версий (среди которых полно уязвимых и устаревших возможностей)?
о том что наспех сляпанная хвостатыми и проталкиваемая во все дыры с остервенением дорвавшегося кролика версия 1.3 окажется еще хуже "уязвимой и устаревшей" 1.0 (не говоря уже о более новых) - разумеется, знали. Не такие уж они идиоты.
Хвостатыми обезьянами?
> Хвостатыми обезьянами?я в таксономии плаваю - но сто процентов это не рептилоиды.
Может, олени?
Волки! https://richard.levitte.org/
А в программировании вы не плаваете?
этот волчара плюшевый последние годы все больше в доки комитил (не в CoC.md, и на том спасибо), стареет, видать. А может наоборот, наконец-то нашел работу и не стало времени на глупости всякие."Инновациями", в том числе и tls1.3, там занят в основном некто mattcaswell, хз что за зверюшка, но беда не в нем, а в том что у несчастного файлика 54 автора.
а в чем претензии к TLS 1.3?
В том что непонятно, какую высосанную из пальца проблему оно решает.Какие на пустом месте создает - понятно.
Им трудно переезжать на новое, ибо сломается куча говнокода старого.
Знакомая по работе ситуация.
> Им трудно переезжать на новое, ибо сломается куча говнокода старого.даже если (случайно) не сломается - это просто совершенно ненужная деятельность.
Ни один продукт ms не будет выкинут (в отличие от 6ешплатного г-на) потому что не поддерживает новомодное ненужно.И никакой гугль пока еще не в силах их заставить.
Скайп Фор Бузинес выкидывается, Семёрка выкинута (хотя и стараются на ней остаться, но выкинута в пользу значительно иной вещи Вин10), Икс-Пи - уже даже и забыли название это и под неё уже софт не весь работает. Офис уже в облаке, умеет рекомендовать с какими контактами по работе рекомендуется больше/меньше общаться, и как ты время теряешь - это выкидывается настольный софт в пользу облачного.Десяточку сейчас зативоизируют-вхардкодят и выбрасывать начнут ещё чаще и больше в пользу своих бизнес интересов модно-молодёжно-перспективных.
Не сотвори себе кумира. Меньше разочарований.
> Скайп Фор Бузинес выкидывается, Семёрка выкинута[skip]
так это-то все понятно, зачем делается. А чего ради сами себе создавать проблемы с поддержкой только-распоследнего-модного-бесполезно-tls - непонятно.
У них и так все работает.А чудес от Кумара у руля и не ждет никто.
(но, кстати, мы тут на сцайпворбизнес надысь перешли! Ага, не с, а на. С lync, естественно. Лицензию типа продали, не поморщились. Обратная совместимость частичная - "комнаты" не видны. На teams, полагаю, уже апгрейда не будет - он останется только облачный, пока соберемся.)
Помогите разобраться, кто в курсе.
Недавно протестировал на https://www.immuniweb.com/ssl/?id=qRWVJNq1 свои postfix/dovecot/nginx сервера и удивился таким результатам.
/* postfix/dovecot/nginx */
SERVER DOES NOT SUPPORT EXTENDED MASTER SECRET
The server does not support Extended Master Secret extension for TLS vresions ≤ 1.2./* postfix/dovecot */
SERVER DOES NOT SUPPORT KEY SHARE
The server does not support Key Share extension for TLS 1.3./* postfix/dovecot */
SERVER DOES NOT SUPPORT SUPPORTED VERSIONS
The server does not support Supported Versions extension for TLS 1.3.Тема гуглится очень плохо и я только понял что это далеко не новые расширения которые работают из коробки без всяких заморочек ещё с openSSL 1.1.0.
В nginx явно об этом ответили https://forum.nginx.org/read.php?2,272703,272704
Но этот сервис говорит что мои сервера их не поддерживают.
Это глюк этого теста или у меня в самом деле что-то не включено?P.S. Как минимум, этот сервис не видит у меня сифер chacha20-Poly1305 для TLS 1.2, но он у меня есть!
Значит, выход один - взять клиента, который умеет вываливать дебаг каждого шага установки ссл-соединения, и проверить свои сервера с его помощью.
https://testssl.sh в помощь
Благодарю за полезную утилиту!
TLS extensions (standard) "renegotiation info/#65281" "server name/#0" "EC point formats/#11"
"session ticket/#35" "next protocol/#13172" "supported versions/#43"
"key share/#51" "status request/#5" "max fragment length/#1"
"application layer protocol negotiation/#16"
"extended master secret/#23"
Как я и думал это глюки сервиса.
Вот эту бери, я чёта подзабыл, что она существует, а ведь мастхэвная весч https://addons.mozilla.org/en-US/firefox/addon/flagfox/
Это я должен догадаться, что у расширения Flagfox есть опция проверить SSL через https://www.ssllabs.com ?
А сразу нельзя было просто дать ссылку на него или написать sslabs?1 Способен проверить только веб-сервер.
2 Он вообще не проверяет расширения, об отсутствии которых я упоминал.
3 То что он умеет по большей части он сам использует из testssl.sh.
4 Из того что он использует своего он, как минимум, 0-RTT enabled распознать не может.
Можно было и догадаться. Ну я вообще имел в виду https://observatory.mozilla.org/ который дёргает апи ssllabs immuniweb и всех остальных. И это скорее про удобство. Как говорится, не нравится, не ешь. Это тебе не винегрет размешанный в супе (c) какая-то ТП из правительства.
Починили:
> Починили:
> https://www.immuniweb.com/ssl/?id=2zC2VSPtЗдорово!
> Supports OCSP Stapling YesЖду от postfix и dovecot поддержки OCSP Stapling. :-(
> Жду от postfix и dovecot поддержки OCSP Stapling. :-(Автор dovecot принципиально против и я его в целом понимаю.