Pull to refresh

Comments 12

Разработчики веб-браузера Safari молниеносно отреагировали на эту проблему и выпустили обновление безопасности.


Yosemite, однако, уязвим.
В обновлении от 16 октября 2014 года для Yosemite есть исправление этой уязвимости http://support.apple.com/kb/HT6536
На практике, к сожалению, подтвердить не могу. На форуме Apple.com об этом так же есть обсуждение, на сколько мне стало понятно, все в порядке и с Yosemite https://discussions.apple.com/message/26835447#26835447
Спасибо за статью.

Я тут вспомнил, что в свое время для openfire покупал ssl сертификат.
Оказалось:
Порт 5222 текстовый / TLS.
Порт 5223 хоть и SSL, но при этом сам пакет OpenSSL не используется.
Вместо OpenSSL там используется bouncycastle.
Вот чего только не узнаешь.

# service nginx restart

В большинстве случаев стоит делать service xxx reload, где это только возможно, чтобы не портить клиентам жизнь, а также не останавливать и не запускать всего демона целиком. По крайней мере, хотя бы если изменяется только конфигурация.

Команда service является, грубо говоря, оберткой для скриптов из /etc/init.d, где опция restart обычно отправляет демону SIGTERM, после чего заново стартует процесс. Это верно по крайней мере для Debian, где в init-скрипте nginx используется дефолтный сигнал для остановки, и Ubuntu, где сигнал явно указан. У nginx SIGTERM повлечет за собой quick shutdown, при котором все соединения будут разорваны, и демон будет всеми силами пытаться умереть как можно быстрее. Плюс, ничего особо не изменилось, кроме одной строчки в конфиге, так что это тот самый случай, когда лучше сделать reload, ибо старые воркеры будут потихоньку умирать по мере завершения обработки запросов, а новые начнут запускаться уже с новой конфигурацией.
Да, это дельное замечание. Внес изменения в публикацию.
Рецепт для dovecot работает только с версии 2.1 и выше, для версий ниже 2.1 придется лезть в исходники.
Для Courier IMAP/POP3 (ну, мало ли, есть любители вроде меня):

файлы /etc/courier/imapd-ssl и /etc/courier/pop3d-ssl:

TLS_PROTOCOL="TLS1_1:TLS1:TLS1_2"
TLS_STARTTLS_PROTOCOL="TLS1_1:TLS1:TLS1_2"
TLS_CIPHER_LIST="!SSLv3:TLSv1:!SSLv2:HIGH:!LOW:!MEDIUM:!EXP:!NULL@STRENGTH"
В статье я остановился только на тех сервисах, которые пользуются бОльшей популярностью на наших серверах и/или входят в состав дисковых шаблонов с ISPmanager. Но Ваш комментарий будет полезен для любителей экзотики ;-)
Тут недавно открыл для себя рекомендации mozilla, для настройки SSL на серверах. В качестве сухой выдержки, максимальную защиту в ущерб некоторой совместимости дает следующий конфиг nginx:
server {
    listen 443;
    ssl on;

    # certs sent to the client in SERVER HELLO are concatenated in ssl_certificate
    ssl_certificate /path/to/signed_cert_plus_intermediates;
    ssl_certificate_key /path/to/private_key;
    ssl_session_timeout 5m;
    ssl_session_cache shared:SSL:50m;

    # Diffie-Hellman parameter for DHE ciphersuites, recommended 2048 bits
    ssl_dhparam /path/to/dhparam.pem;

    # Intermediate configuration. tweak to your needs.
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK';
    ssl_prefer_server_ciphers on;
 
    ssl_ecdh_curve secp384r1;

    # Enable this if your want HSTS (recommended)
    # add_header Strict-Transport-Security max-age=15768000;
 
    # OCSP Stapling ---
    # fetch OCSP records from URL in ssl_certificate and cache them
    ssl_stapling on;
    ssl_stapling_verify on;
    ## verify chain of trust of OCSP response using Root CA and Intermediate certs
    ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates;
    resolver <IP DNS resolver>;
 
    ....
}


Если им следовать для постфикса, то у меня получилось что-то типа:
smtpd_tls_security_level = may
smtpd_tls_auth_only = yes
smtpd_tls_mandatory_ciphers = high
smtpd_tls_CApath = /etc/ssl/certs
smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3
smtpd_tls_dh1024_param_file = /etc/postfix/dhparam.pem

smtp_tls_security_level = may
smtp_tls_note_starttls_offer = yes
smtp_tls_loglevel = 1
smtp_tls_mandatory_ciphers = high
smtp_tls_CApath = /etc/ssl/certs
smtp_tls_mandatory_protocols=!SSLv2,!SSLv3

tls_high_cipherlist = ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-S
HA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA
384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256
:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK
Еще бы кто-нибудь рассказал 1С-никам, как теперь дружить с нашим TLS-only веб-сервером
Могу порекомендовать сервис SSL Server Test от Qualys: www.ssllabs.com/ssltest. Возможно, узнаете много нового про хорошие практики в настройке SSL.
Sign up to leave a comment.