Come forse alcuni di voi sapranno è stata recentemente scoperta una seria vulnerabilità sui protocolli SSL e TLS. La spiegazione tecnica è piuttosto complessa, ma se siete interessati è disponibile una analisi molto dettagliata (in inglese).
Tutti i servizi di ZephirWorks che utilizzano SSL sono stati verificati e non sono vulnerabili. Se siete nostri clienti per il servizio di gestione sistemistica, i vostri server sono stati verificati; contattate il vostro referente per ulteriori dettagli.
Se gestite dei servizi che utilizzano SSL, vi consigliamo di verificare se il vostro server HTTP è soggetto a questa vulnerabilità seguendo le istruzioni in questo post.
Ad oggi il problema non è stato risolto, ma tutti i vendor sono al lavoro per fornire una soluzione definitiva. E' disponibile una patch a OpenSSL che però disabilita alcune funzionalità, in particolare la possibilità di configurare SSL in modo diverso per directory (anziché per un intero sito).
Il caso più frequente è che abbiate configurato l'autenticazione con client certificate su una o più directory. Ad esempio, una configurazione di questo tipo non funziona più:
<Location "/dir">
SSLVerifyClient require
SSLVerifyDepth 1
</Location>
In questo caso potreste trovare nei log di apache messaggi di questo tipo:
[Fri Jan 08 09:47:38 2010] [error] [client x.y.z.k] Re-negotiation handshake failed: Not accepted by client!?
Sappiate che non c'è nulla di sbagliato nei vostri certificati ma semplicemente la funzionalità di rinegoziazione è stata disabilitata.
Allo stato attuale, l'unico possibile workaround per continuare ad utilizzare l'autenticazione con client certificate è utlilzzare la verifica del certificato per-server e non per-directory; spostando le voci di configurazione di SSL direttamente nel VirtualHost l'autenticazione con certificato ritorna a funzionare applicandosi a tutte le directory.
Se il vostro setup è più complesso, ad esempio se dovete per forza usare alcuni parametri SSL solo per una parte del sito ma non per tutto, dovrete ricorrere ad una soluzione più complessa; una soluzione possibile è creare un nuovo virtual host. I nostri sistemisti sono a disposizione per consigliarvi su come procedere.
