Bug 30909 - Убрать поддержку небезопасных алгоритмов шифрования.
Summary: Убрать поддержку небезопасных алгоритмов шифрования.
Status: CLOSED FIXED
Alias: None
Product: Infrastructure
Classification: Infrastructure
Component: bugzilla.altlinux.org (show other bugs)
Version: unspecified
Hardware: all Linux
: P3 normal
Assignee: Andrey Cherepanov
QA Contact: Andrey Cherepanov
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2015-04-04 10:18 MSK by Владимир Диденко
Modified: 2015-09-29 00:46 MSK (History)
2 users (show)

See Also:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Владимир Диденко 2015-04-04 10:18:19 MSK
Сейчас SSL/TLS на bugzilla.altlinux.org настроен отвратительно. 

1. Есть поддержка EXPORT-алгоритмов, в результате чего сервер уязвим к FREAK атаке. Стоит убрать.

2. Есть поддержка анонимного Диффи-Хеллмана. Тоже стоит убрать.

3. Длина ключа сертификата - 1024 bit. Сейчас этого мало. Хорошо бы поднять до 2048. 

4. Есть поддержка SSL v3 с CBC алгоритмами. В результате есть уязвимость POODLE. Хорошо бы SSL v3 вообще убрать, а также включить TLS 1.1 и 1.2. 

Я, конечно, понимаю, что багзилла не такой важный сервис, но с другой стороны - это лицо проекта, и хорошо бы проблемы выше поправить. 

Тестировать настройку TLS можно через SSL Labs

https://www.ssllabs.com/ssltest/analyze.html?d=bugzilla.altlinux.org
Comment 1 Dmitry V. Levin 2015-09-29 00:46:04 MSK
Было исправлено около месяца назад добавлением https proxy перед bugzilla.altlinux.org.