OpenSSL в дебьян тестинге убрали поддержку TLS 1.0/1.1

Kurt Roeckx
OpenSSL

Былая слава не дает покоя?

1.1 то зачем? Он то чем провинился?

эта http://www.gergely.risko.hu/debian-dsa1571.en.html ?

А что не так? Это же тестинг.
Убрали в качестве теста, чтобы собрать отзывы и решить, можно ли это в стабильный релиз.

Хехе, а у почтовиков на тестинге (наверняка и такое бывает) должен отвалиться starttls с mail.ru. У тех был 1.1 верхним протоколом, хотя может и обновили сейчас свою некрофилию, надо проверить.

Боже, как же я люблю такие новости. Делают правильные вещи и за компанию бьют сразу по нескольким классам унтерменьшей:

• По мамкиному хакерью, кормящемуся с уязвимого шифрования
• По профнепригодным недоадминам, использующим нестабильный дистрибутив, при этом не понимающим этого и не хотящим помогать исправлять проблемы в нём
• По пользователям дебилана в общем, поскольку выбора у них всего два: либо гнилая «стабильная» система с пакетами отставшими на годы, либо более-менее свежая, зато явно задекларированная как «нестабильная» с официальным курсом на вечную поломку всего и вся, и они это жрут
• По рабам амазона, регулярно сдающим желудочный сок
• По амазону, которому между стрижками рабов таки придётся обновлять свою инфраструктурку

Yep.

А что не так? Это же тестинг.

Дык это же единственный юзабельный и непротухший вариант дебиана.

единственный юзабельный

4.2

непротухший

Единственным непротухшим дистрибутивом может считаться лишь таковой, в котором коммит в master тут же вызывает пересборку пакета.

унтерменьшей

ь - тут лишний

Спасибо, воткнул hold.

PS: был неправ насчёт mail.ru
openssl s_client -connect smtp.mail.ru:25 -tls1_2 -starttls smtp
нормально отрабатывает

Спасибушки, буду знать.

Протоколу TLS 1.1 уже много времени и ему пора на покой.

Да я и не против. Амазону тоже 8) Трабла в том, что я допер о причине и откатил пакет. А много страдальцев всякого тухлого энтерпрайза могут вляпаться.

ну, в самой библиотеке это уж месяц назад случилось, кажись. ожидается тотальный переход на TLS 1.3.

ынтерпрайз не меняет пакеты на свежак. у них там древние протоколы будут ещё сто лет.

дык, в том и косяк, что сервера на ынтерпрайзе будут тухлые, а хипстота юзающая их апи обломаются

яж тоже не сервак держу, а ковыряю одну штуку под амазоновское апи, иначе хрен бы заметил, что это вообще произошло

как вариант - держать две версии библиотеки и прелоадить нужную.

Ынтырпрайз на тестинге? Мало им, их каждый день надо бить доской с гвоздями.

А, ну хипстеров тоже надо бить, лопатой.

Вики говорит, что в OpenSSL поддержка TLS 1.2 появилась только в 2012-ом году. Пока обкатали, пока запаковали в дистрибутивы, пока везде установили. То есть по факту на 1.2 перешли всего года три-четыре назад, и то в основном из-за хайпа по поводу дырок в SSL-библиотеках.
На работе до сих пор стоит почтовик с TLS 1.0. Дистрибутив года 2010-ого. Намекал админу, чтобы занялся обновлением (там ещё некоторые косяки есть) - меня послали лесом.

всё правильно сделали

К слову, добавил в nginx своих сайтов логи $ssl_protocol/$ssl_cipher. За день накапало 140k посещений, из них TLSv1 меньше сотни, из них две трети - обращения к /wp-login.php от, очевидно, червей, остальное какие-то роботы, щепотка древних мобилок и один пришибленный firefox 3.5. Нафик-нафик, выключил TLS<1.2.

Internet Explorer 9, поддерживающий TLS 1.2, выпущен в 2011 году, 6 лет назад.

Internet Explorer 9, поддерживающий TLS 1.2, выпущен в 2011 году, 6 лет назад.

Я про OpenSSL говорил.
https://en.wikipedia.org/wiki/OpenSSL#Major_version_releases

На OpenSSL свет клином не сошёлся.

Библиотека, которой пользуется абсолютное большинство юниксовых серверов.

А у кого-то уже пять лет Windows Server 2012 и TLS 1.2.

Напоминаю, что речь шла про ишака.

Internet Explorer 9, поддерживающий TLS 1.2, выпущен в 2011 году, 6 лет назад.

https://www.ssllabs.com/ssltest/clients.html
По дефолту в нем TLS 1.2 работает только начиная с IE 11.

Еще бы 1.3 нормально запилили, вообще было бы отлично.

Про ишака или OpenSSL?