October 16th, 2014

дефолт

SSL v3 POODLE

Новая вскрытая уязвимость в протоколе SSL версии 3. Это не уязвимость какой-либо библиотеки типа трёхклятой OpenSSL. Это уязвимость заложена в протокол by design. Единственным выходом от неё избавиться - это отключить SSL версии 3 на корню. А ещё лучше отключить всё, что меньше хотя бы TLS версии 1.1.

Как это сделать на серверах, админы разберутся сами. Однако порадовали советы Убунтоводов о том, как отключить это в браузере Chrome: пропатчить ярлыки запуска.

Дебиановоды смотрят на это с презрением, открывают файл /etc/chromium/default и добавляют в переменную параметр "--ssl-version-min=tls1.1". У меня это выглядит следующим образом:
CHROMIUM_FLAGS="--password-store=detect --ssl-version-min=tls1.1"

Немного расстраивает тот факт, что в wheezy оказался libnss без поддержки TLS 1.2.

PS: Чтобы это заработало, похоже, не достаточно перезапустить Chromium, надо сделать killall chromium, потому что он оставляет некоторые свои процессы в бэкграунде. О том, что всё ок, вы можете убедиться здесь.