LINUX.ORG.RU
ФорумTalks

OpenSSL в дебьян тестинге убрали поддержку TLS 1.0/1.1

 


0

0

у меня из-за этого отвалились амазоновские сервисы

пруф: http://metadata.ftp-master.debian.org/changelogs/main/o/openssl/openssl_1.1.0...

[ Kurt Roeckx ]

* Disable TLS 1.0 and 1.1, leaving 1.2 as the only supported SSL/TLS version. This will likely break things, but the hope is that by the release of Buster everything will speak at least TLS 1.2. This will be reconsidered before the Buster release.

Deleted

Последнее исправление: Deleted (всего исправлений: 2)

А что не так? Это же тестинг.
Убрали в качестве теста, чтобы собрать отзывы и решить, можно ли это в стабильный релиз.

aidaho ★★★★★
()

Хехе, а у почтовиков на тестинге (наверняка и такое бывает) должен отвалиться starttls с mail.ru. У тех был 1.1 верхним протоколом, хотя может и обновили сейчас свою некрофилию, надо проверить.

imul ★★★★★
()

Боже, как же я люблю такие новости. Делают правильные вещи и за компанию бьют сразу по нескольким классам унтерменьшей:

  • По мамкиному хакерью, кормящемуся с уязвимого шифрования
  • По профнепригодным недоадминам, использующим нестабильный дистрибутив, при этом не понимающим этого и не хотящим помогать исправлять проблемы в нём
  • По пользователям дебилана в общем, поскольку выбора у них всего два: либо гнилая «стабильная» система с пакетами отставшими на годы, либо более-менее свежая, зато явно задекларированная как «нестабильная» с официальным курсом на вечную поломку всего и вся, и они это жрут
  • По рабам амазона, регулярно сдающим желудочный сок
  • По амазону, которому между стрижками рабов таки придётся обновлять свою инфраструктурку
slovazap ★★★★★
()
Ответ на: комментарий от shahid

единственный юзабельный

4.2

непротухший

Единственным непротухшим дистрибутивом может считаться лишь таковой, в котором коммит в master тут же вызывает пересборку пакета.

aidaho ★★★★★
()
Ответ на: комментарий от imul

PS: был неправ насчёт mail.ru
openssl s_client -connect smtp.mail.ru:25 -tls1_2 -starttls smtp
нормально отрабатывает

imul ★★★★★
()
Ответ на: комментарий от Deathstalker

Да я и не против. Амазону тоже 8) Трабла в том, что я допер о причине и откатил пакет. А много страдальцев всякого тухлого энтерпрайза могут вляпаться.

Deleted
()

ну, в самой библиотеке это уж месяц назад случилось, кажись. ожидается тотальный переход на TLS 1.3.

Iron_Bug ★★★★★
()
Ответ на: комментарий от Iron_Bug

дык, в том и косяк, что сервера на ынтерпрайзе будут тухлые, а хипстота юзающая их апи обломаются

яж тоже не сервак держу, а ковыряю одну штуку под амазоновское апи, иначе хрен бы заметил, что это вообще произошло

Deleted
()
Ответ на: комментарий от Deleted

как вариант - держать две версии библиотеки и прелоадить нужную.

Iron_Bug ★★★★★
()
Ответ на: комментарий от Deleted

Ынтырпрайз на тестинге? Мало им, их каждый день надо бить доской с гвоздями.

mandala ★★★★★
()
Ответ на: комментарий от Deathstalker

Вики говорит, что в OpenSSL поддержка TLS 1.2 появилась только в 2012-ом году. Пока обкатали, пока запаковали в дистрибутивы, пока везде установили. То есть по факту на 1.2 перешли всего года три-четыре назад, и то в основном из-за хайпа по поводу дырок в SSL-библиотеках.
На работе до сих пор стоит почтовик с TLS 1.0. Дистрибутив года 2010-ого. Намекал админу, чтобы занялся обновлением (там ещё некоторые косяки есть) - меня послали лесом.

h31 ★★★★
()

всё правильно сделали

Harald ★★★★★
()

К слову, добавил в nginx своих сайтов логи $ssl_protocol/$ssl_cipher. За день накапало 140k посещений, из них TLSv1 меньше сотни, из них две трети - обращения к /wp-login.php от, очевидно, червей, остальное какие-то роботы, щепотка древних мобилок и один пришибленный firefox 3.5. Нафик-нафик, выключил TLS<1.2.

slovazap ★★★★★
()

Еще бы 1.3 нормально запилили, вообще было бы отлично.

l0stparadise ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.