https://opennet.dev/openforum/vsluhforumID3/106978.html Отключаем SSLv2 для защиты от атаки [[https://www.opennet.ru/opennews/art.shtml?num=43971 DROWN]], позволяющей с MITM-хоста получить доступ к защищённому каналу связи между клиентом и уязвимым сервером. Уязвимость проявляется если сервер поддерживает SSLv2 (не важно какой протокол используется в текущем сеансе, какая реализация библиотеки шифрования используется и какие протоколы поддерживает клиент).<br><br><br>Отключение SSLv2 в nginx (в версиях 0.7.64, 0.8.18 и младше SSLv2 включен по умолчанию):<br><br> ssl_protocols TLSv1 TLSv1.1 TLSv1.2<br><br><br>Отключение SSLv2 в Apache httpd (в httpd 2.2.x и младше SSLv2 включен по умолчанию ):<br><br> SSLProtocol All -SSLv2 -SSLv3<br><br>Отключение SSLv2 в Postfix (в версиях 2.9.13, 2.10.7, 2.11.5, 3.0.1 и младше SSLv2 включен по умолчанию)):<br><br> smtpd_tls_protocols = !SSLv2, !SSLv3<br> smtp_tls_protocols = !SSLv2, !SSLv3<br> lmtp_tls_protocols = !SSLv2, !SSLv3<br> tlsproxy_tls_protocols = $smtpd_tls_protocols<br><br> smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3<br> smtp_tls_ https://opennet.dev/openforum/vsluhforumID3/106978.html#13 Sat, 09 Apr 2016 12:00:27 GMT &gt; Вообще бомба теперь уязвимы очень серьезные компании.<br><br>Они всегда были уязвимы. По определению, т.к. цена вопроса окупалась.<br> https://opennet.dev/openforum/vsluhforumID3/106978.html#10 Wed, 30 Mar 2016 06:51:15 GMT Вообще бомба теперь уязвимы очень серьезные компании.<br> https://opennet.dev/openforum/vsluhforumID3/106978.html#9 Sun, 13 Mar 2016 16:53:23 GMT &gt; Сколько комментариев и все претензии, давно ничего не спрашиваю на русскоязычных форумах, в основном только самоутверждаются вместо ответа, знаешь чем дополнить, - дополни или молчи. Люди не только статью читают, но и комментарии.<br><br>ибо советовать в 2016 году отключить SSLv2 как то странно и даже без как то<br> https://opennet.dev/openforum/vsluhforumID3/106978.html#8 Sun, 13 Mar 2016 06:03:37 GMT &gt;Сколько комментариев и все претензии, давно ничего не спрашиваю на русскоязычных форумах, в основном только самоутверждаются вместо ответа, <br><br>Таки да.<br><br> https://opennet.dev/openforum/vsluhforumID3/106978.html#7 Mon, 07 Mar 2016 23:36:41 GMT &gt; smtp_tls_exclude_ciphers = EXPORT, LOW, MD5, aDSS, kECDHe, kECDHr, kDHd, kDHr, SEED, IDEA, RC2<br>&gt; smtpd_tls_exclude_ciphers = EXPORT, LOW, MD5, SEED, IDEA, RC2<br><br>Какой придурок IDEA забанил? А RC4, DES/3DES оставили? Рекомендации от АНБ чтоль? <br><br><br>&gt; kECDHe, kECDHr, kDHd, kDHr, <br><br>Вот даже интересно, хоть кто знает, что тут написано и почему это надо отключать? <br> https://opennet.dev/openforum/vsluhforumID3/106978.html#6 Mon, 07 Mar 2016 16:27:13 GMT Сколько комментариев и все претензии, давно ничего не спрашиваю на русскоязычных форумах, в основном только самоутверждаются вместо ответа, знаешь чем дополнить, - дополни или молчи. Люди не только статью читают, но и комментарии.<br> https://opennet.dev/openforum/vsluhforumID3/106978.html#5 Thu, 03 Mar 2016 20:01:37 GMT абсолютно идентичная мысля проскочила как "это" прочитал<br>нормальные люди 100 лет назад уже поотключали эту хрень<br> https://opennet.dev/openforum/vsluhforumID3/106978.html#3 Wed, 02 Mar 2016 14:50:33 GMT omg, из криокамеры что ли вышли. Все это нормальные люди отключили еще при poodle<br> https://opennet.dev/openforum/vsluhforumID3/106978.html#2 Wed, 02 Mar 2016 10:20:03 GMT Может быть лучше обновить библиотеки, чем отключать уязвимые компоненты старых версий?<br>