[Postfixbuch-users] SSLv3

[Winfried Neessen]

Hi,

Am 2014-10-20 13:07, schrieb Igor Sverkos:

> Ja, Downgrade-Attacken sind eine Gefahr. Bis sich Dinge wie
> TLS_FALLBACK_SCSV durchsetzen wird es noch etwas dauern (wie viele
> LTS-Distributionen sind noch bei OpenSSL 0.9.8?).
> Aber manche tun förmlich so, als seien alle Probleme vom Tisch, wenn
> man jetzt schlechte Cipher und SSLv3 einfach abschaltet...
> 

Das Problem ist, wenn hier nicht mal ein harter Schritt vollzogen wird, 
wird
sich an der ganzen Problematik nichts aendern. Meine Hoffnung ist, dass 
dadurch
das viele Anbieter sich jetzt "gezwungen" fuehlen SSLv3 abzuschalten, 
das dieses
total veraltete Protokoll endlich mal vom Markt verschwindet. Wenn man 
nicht mal
zu so drastischen Massnahmen greift, wird man diese legacy Protokolle 
immer
weiter mit sich schleppen.

Natuerlich wird es immer Leute geben, die weiterhin SSLv3 einsetzen. 
Aber wenn
das Gro der Dienst-Anbieter dies einstampft, stehen die Chancen gut, 
dass es
sich auch langsam aber sicher auf der Client-Seite verabschiedet. Und 
wer weiss
vielleicht sehen dann einige Anbieter auch ein, dass sie z. Zt. nur 
SSLv3 und
TLS 1.0 anbieten und wenn sie SSLv3 abschalten, da nicht mehr viel 
Spielraum
uebrig bleibt und sie mal drueber nachdenken sollten TLS 1.1/1.2 zu
implementieren.

> Aber ist ja eh egal, da die meisten Server irgendein Zertifikat
> akzeptieren... aber SSLv3 bitte SOFORT abschalten, das gefährdet die
> Sicherheit! ;)
> 

SSLv3 haette schon vor 10 Jahren SOFORT abgeschaltet werden sollen. 
Deine
Aussage hinkt ein wenig. Nur weil es andere Angriffsmoeglichkeiten gibt, 
sollte
man SSLv3 nicht abschalten- nur damit es noch eine Angriffsmoeglichkeit 
mehr
gibt?



Winni