esetnod32 May 21 2015 at 13:43

Logjam — новая уязвимость в TLS

2 min

14K

ESET NOD32 corporate blogInformation Security*

Comments 9

nikitasius May 21 2015 at 14:05

Конечно, поддержка DHE-RSA-AES256-SHA и DHE-RSA-AES128-SHA прописана для клиентов есть, но она «самая последняя в списке».
Сейчас есть актуальные варианты ECDHE варианты, которые и следует ставить как актуальные и первостепенные (ECDHE-ECDSA, ECDHE-RSA).

dmitrmax May 21 2015 at 14:07

Странное дело, потому что Firefox и Chrome используют не OpenSSL, а NSS. Таким образом, либо новость заключается в найденой уязвимости протокола, либо в его реализациях, из которых непонятным особняком выделена именно реализация OpenSSL.

ValdikSS May 21 2015 at 15:09

Это уязвимость протокола, а не реализации. Скоро (в течение пары часов) распишем.

lostpassword May 21 2015 at 16:39

На текущий момент уязвимость исправлена только в IE

IE — лучший!

-1

nikitasius May 21 2015 at 17:19

А чем же он лучший? Если на говносервере полняли https и там только DHE, то это не проблема клиента, что он может деградировать, а проблема админа сервера, с какого он использует DHE вместо ECDHE.
В интернете Сервер должен поддерживать максимально безопасные на момент его рестарта шифры, даже если клиент «идиот». Вот мой браузер уязвим, а вот сервер нет, потому, что ECDHE, значит и я не уязвим.
Аккаунтов на сайтах компаний «рога и копыта РФ», которые работают с DHE или вообще TLS1.0 у меня нету.
На клиентам вырезают или меняют шифры потому, что он обновится у большинства пользователей и, значит, большее количество людей будет ныть админу и помоить ресурс, у которого до сих пор не поправлено.