У меня уже давно правильно сконфигурированный SSL является одним из факторов оценки IT компании (и ее команды).
К сожалению, очень многие не парятся и в тестах их SSL www.ssllabs.com/ssltest показывает целый букет брешей.
Наиболее встречаемые: POODLE, использование слабого RC4, использование SHA1 сертификата вместо SHA2.
Реально эти тесты косвенно показывают:
- насколько компания реально заботится о безопасности
- насколько админ/команда технически подкованы
- следят за новостями безопасности
- если такие простые элементы безопасности не учтены, то что же творится в самой системе?
- косвенно: насколько hire отдел/CEO квалифицирован при выборе работников
А Mandrill DKIM подписывает с помощью rsa-sha1 или rsa-sha256? Сколько таких почтовых сервисов ни пробывал — все на старом sha1.
По подобным причинам не нравятся подобные сервисы — нельзя сконфигурировать все под свои нужды.
К сожалению, очень многие не парятся и в тестах их SSL www.ssllabs.com/ssltest показывает целый букет брешей.
Наиболее встречаемые: POODLE, использование слабого RC4, использование SHA1 сертификата вместо SHA2.
Реально эти тесты косвенно показывают:
Просто потому что они сделали уже существующие сложные вещи очень простыми для использования и автоматизации.
По подобным причинам не нравятся подобные сервисы — нельзя сконфигурировать все под свои нужды.