Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).

To: nginx-ru@xxxxxxxxx
Subject: Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).
From: Maxim Dounin <mdounin@xxxxxxxxxx>
Date: Mon, 9 Nov 2009 15:20:03 +0300
In-reply-to: <20091109115052.GN38089@xxxxxxxxxxxxx>
References: <20091106144111.GW1144@xxxxxxxxxx> <20091106165401.GE52011@xxxxxxxxxxxxx> <20091106203556.GC1144@xxxxxxxxxx> <20091107145511.GG1144@xxxxxxxxxx> <20091109014045.GN1144@xxxxxxxxxx> <20091109080217.GC38089@xxxxxxxxxxxxx> <20091109101026.GP1144@xxxxxxxxxx> <20091109102617.GF38089@xxxxxxxxxxxxx> <20091109110759.GR1144@xxxxxxxxxx> <20091109115052.GN38089@xxxxxxxxxxxxx>

Hello!

On Mon, Nov 09, 2009 at 02:50:52PM +0300, Igor Sysoev wrote:

[...]

> > > > p.s. Для серверных соединений ещё теоретически остаётся проблема 
> > > > Server Gated Certs (SGC) при работе со старыми браузерами с 
> > > > экспортными ограничениям, но вот на это IMHO стоит забить.
> > > 
> > > Насколько я понимаю, SGC работает без renegotiation.
> > 
> > Если верить README.GlobalID из поставки mod_ssl - он renegotiation 
> > использует при первом запросе, проделывая его сразу после 
> > исходного handshake'а (если видит сертификат с нужным 
> > extKeyUsage).  В последующих запросах renegotiation не 
> > используется.
> > 
> > Я не смог под рукой найти ни одного браузера с экспортными 
> > ограничениями - так что сам не проверял... :)
> 
> Полный renegotiation происходит только при Netscape International
> Setp-Up. Во время SGC nginx увидит завершённый handshake только
> уже после дополнительного renegotiation.

Ok, I see.  Т.е. всё даже лучше чем я предполагал.  Точно забить.

Maxim Dounin

Follow-Ups:
- Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).
  - From: Maxim Dounin

References:
- Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).
  - From: Maxim Dounin
- Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).
  - From: Igor Sysoev
- Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).
  - From: Maxim Dounin
- Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).
  - From: Maxim Dounin
- Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).
  - From: Maxim Dounin
- Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).
  - From: Igor Sysoev
- Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).
  - From: Maxim Dounin
- Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).
  - From: Igor Sysoev
- Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).
  - From: Maxim Dounin
- Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).
  - From: Igor Sysoev

Prev by Date: Re: предложение по ngx_http_image_filter_module
Next by Date: Re: Помогите разобраться с SSI в nginx-0.7.63
Previous by thread: Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).
Next by thread: Re: [PATCH] Disable SSL renegotiation (CVE-2009-3555).
Index(es):
- Date
- Thread