Vypněte TLS 1.0 a 1.1 už dnes (diskuse)

Už teď má spousta lidí problémy s tím, že nemůžou použít ssh rozhraní k některým starším zařízením, takže se jim pro jistotu znefunkční i webové. To je tak, když si někdo vezme do hlavy, že místo aby software uživatelům sloužil, má je vychovávat.

16.10.2018 15:36 Ruža Becelin | skóre: 40 | blog: RuzaBecelinBlog
Rozbalit Rozbalit vše Re: Vypněte TLS 1.0 a 1.1 už dnes

Ke starsimu zarizeni pouzuji starsi prohlizec, nebo starsi OS ve VM, samozrejme oboje patricne oddelene od bezneho provozu.

Nebo mi neco uchazi?

Na testovaci Catalyst 2950 se hlasim SSH klienten s RC4 sifrou a bezpecnost site tim neohrozuji, protoze to lezi mimo ostatni infrastrukturu.

16.10.2018 15:58 Roman
Rozbalit Rozbalit vše Re: Vypněte TLS 1.0 a 1.1 už dnes

Stare zarizeni sbalit a vyhodit. A nove zarizeni kupovat takove, u ktereho jde vse pravidelne aktualizovat. Neco jako zmena sifry nebo CA certifikaty ma byt ejn trivialni aktualzice par balicku. Pokud vyrobce udela zarizeni, ve kterem se zadne aktualizace nedelaji, nebo jen rok ci dva, tak takove zarizeni nekupovat.

16.10.2018 16:51 pavele
Rozbalit Rozbalit vše Re: Vypněte TLS 1.0 a 1.1 už dnes

Já bohužel nemám pár mega na upgrade jednoúčelového, specializovaného zařízení každé dva-tři roky.

Takže jednoznačně dojde ke snížení bezpečnosti.

16.10.2018 16:57 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Vypněte TLS 1.0 a 1.1 už dnes

ssh na starší hp switche řeším aliasem :

alias hpssh='ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 -c 3des-cbc'

Takže pak jen stačí dát :

hpssh -l root 192.168.1.1

Zdar Max

Měl jsem sen ... :(

16.10.2018 18:55 R
Rozbalit Rozbalit vše Re: Vypněte TLS 1.0 a 1.1 už dnes

To je vporiadku a takto by mali riesit kompatibilitu vsetci vyvojari. Ale ked nejaky DEBIL dany algoritmus uplne odstrani, tak si musis niekde bokom udrziavat pri zivote stare nepodporovane verzie...

17.10.2018 04:59 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Vypněte TLS 1.0 a 1.1 už dnes

To nejde minimálně na starém Mikrotiku, protože od verze 7.1 je v OpenSSH DH_GRP_MIN natvrdo a 1024b klíče to nevezme.

Já to s tou denacifikací Slovenska myslel vážně.

17.10.2018 10:03 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Vypněte TLS 1.0 a 1.1 už dnes

Co to znamená "starý mikrotik"? To jako, že se někde válí mikrotik bez aktuálnějšího fw? Všechny MK, co mám, jsou stále supportována/je pro ně aktuální fw/os a osobně ho tam nalejvám (po přečtení komentářů ve foru ke konkrétní verzi :) ).
Zdar Max

Měl jsem sen ... :(