アカウント名:
パスワード:
そんなサーバ無いやろ…(管理してるサーバをチェックしつつ)
OpenSSLは今回のバージョンアップまでデフォルトでSSLv2が有効だったそうな。「対策」とはSSLv2をデフォルトで無効にすること。
POODLE [wikipedia.org] 問題でSSLv3にさえも仕様そのものに脆弱性が見つかっているわけですし、RFC 6176 [ietf.org], RFC 7568 [ietf.org]の推奨通りSSLv2/SSLv3は廃止すべきだと思うんですがねぇ・・
LibreSSLやBoringSSLはとっくに廃止してるね。NSSも現在削除パッチを絶賛レビュー中。
自分が管理している機械で外に向けてTLSを喋るデーモンがリンクするライブラリはOpenSSLからLibreSSLにほぼ差し替え終わった。(まだ僅かに残っているが)もはやOpenSSLを使ってること自体が結構なリスクだと思う。
今回の件はOpenBSDチームがOpenSSLの体制や現状にぶち切れた理由そのままで草も生えんわ
古い特殊な端末は、SSL v2のみサポートってあるんですよ。それに接続されるサーバは当然ながらSSL v2をサポートし続けなくてはなりません。泣きたい
スマホでなく最新のガラケー()使っている層もいますのでガラケー対応を切れないサイトはあるんじゃないかね
# キャリアやメーカーに見捨てられるのはAndroidだけではない
最新のガラケー事情を知らないので聞きたいのだけど、直近5年以内でSSLv2でないとダメな端末ってどれくらいあるの?
なぜ5年?
特に根拠はないが、そんだけの期間のSSLv2必須端末の数がわかれば、対応を切る、切らないの判断がざっくりできるのでは?ってこと。一台でもあったらサポートを切らないという判断もあると思うけど、一般にそれは過剰品質だよね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
いまさらSSL v2有効なんて (スコア:0)
そんなサーバ無いやろ…(管理してるサーバをチェックしつつ)
Re:いまさらSSL v2有効なんて (スコア:2, 参考になる)
OpenSSLは今回のバージョンアップまでデフォルトでSSLv2が有効だったそうな。「対策」とはSSLv2をデフォルトで無効にすること。
Re:いまさらSSL v2有効なんて (スコア:5, 参考になる)
POODLE [wikipedia.org] 問題でSSLv3にさえも仕様そのものに脆弱性が見つかっているわけですし、RFC 6176 [ietf.org], RFC 7568 [ietf.org]の推奨通りSSLv2/SSLv3は廃止すべきだと思うんですがねぇ・・
Re:いまさらSSL v2有効なんて (スコア:2, 参考になる)
LibreSSLやBoringSSLはとっくに廃止してるね。NSSも現在削除パッチを絶賛レビュー中。
Re:いまさらSSL v2有効なんて (スコア:2, 参考になる)
自分が管理している機械で外に向けてTLSを喋るデーモンがリンクするライブラリは
OpenSSLからLibreSSLにほぼ差し替え終わった。(まだ僅かに残っているが)
もはやOpenSSLを使ってること自体が結構なリスクだと思う。
今回の件はOpenBSDチームがOpenSSLの体制や現状にぶち切れた理由そのままで草も生えんわ
Re:いまさらSSL v2有効なんて (スコア:2, 参考になる)
古い特殊な端末は、SSL v2のみサポートってあるんですよ。それに接続されるサーバは当然ながらSSL v2をサポートし続けなくてはなりません。
泣きたい
Re:いまさらSSL v2有効なんて (スコア:1)
スマホでなく最新のガラケー()使っている層もいますので
ガラケー対応を切れないサイトはあるんじゃないかね
# キャリアやメーカーに見捨てられるのはAndroidだけではない
Re: (スコア:0)
最新のガラケー事情を知らないので聞きたいのだけど、直近5年以内でSSLv2でないとダメな端末ってどれくらいあるの?
Re: (スコア:0)
なぜ5年?
Re: (スコア:0)
特に根拠はないが、そんだけの期間のSSLv2必須端末の数がわかれば、
対応を切る、切らないの判断がざっくりできるのでは?ってこと。
一台でもあったらサポートを切らないという判断もあると思うけど、一般にそれは過剰品質だよね。