[10:16] <OerHeks> én... de volgende TSL lek,  "Logjam"
[10:17] <OerHeks> of tls,
[12:56] <SCHAAP137> een lek is iets anders dan oude standaarden hanteren OerHeks
[12:56] <SCHAAP137> het is al lang bekend dat DH parameters kleiner dan 2048 bit niet veilig is om te hanteren
[12:57] <SCHAAP137> dat het nu onomstotelijk zo blijkt te zijn, betekent niet dat er een nieuw lek is, het is meer dat gebruikers en beheerders te weinig luisteren naar security advisories in z'n algemeen
[12:57] <SCHAAP137> een slimme beheerder heeft sowieso alle DH parameters van zn webservices op 2048 bits of hoger staan
[12:58] <SCHAAP137> en sja, downgrade naar EXPORT ciphers, die zouden al uit moeten staan in een adequaat geconfigureerde service
[13:07] <Basz0r> Wat je zegt klopt ook wel. Maar je zit vaak ook met compatibility, waardoor je sommige (onveilige) ciphers niet zomaar kunt uitschakelen.
[13:09] <Basz0r> Een goede mix vinden tussen compatbility / security is in dat opzicht best lastig. Voor kleinere omgevingen wordt er dan vaak een door de software gehanteerde standaard aangehouden. Bijv de standaard ciphers die door Apache worden meegeleverd
[13:09] <Basz0r> Daar wordt dan niet in gefinetuned
[14:46] <SCHAAP137> Basz0r: compatibility wordt vaak gebruikt als argument om dingen onveilig te houden en niet te upgraden
[14:47] <SCHAAP137> filantropie en backwards-compatibility zijn nog geen goede argumenten om onveilige systemen te handhaven, vind ik
[14:49] <SCHAAP137> als iets aantoonbaar een veiligheidsrisico is, verandert dat niet door de instandhouding ervan op een andere manier te motiveren
 Wat je zegt klopt ook wel. Maar je zit vaak ook met compatibility, waardoor je sommige (onveilige) ciphers niet zomaar kunt uitschakelen.
[14:50] <Maikel> dat is echt totale larie
[14:50] <Maikel> die mensen zijn een lopend gevaar die oude shit hebben en niet upgraden
[14:50] <Maikel> en niet alleen voorzichzelf
[14:50] <SCHAAP137> precies Maikel, mee eens
 het is al lang bekend dat DH parameters kleiner dan 2048 bit niet veilig is om te hanteren
[14:50] <Maikel> klopt
[14:51] <Maikel> dit zie je al 5 jaar bij openvpn pki management zoals die wordt aanbevolen op arch
[14:51] <Maikel> het is heel simpel mbt cyperencryptie: lead,follow or get the fuck out of the way.
[14:51] <Maikel> cipher + encryptie*
[14:52] <SCHAAP137> neem nou bijvoorbeeld SSL 3.0
[14:52] <SCHAAP137> de énige reden dat je dat aan zou zetten, is om Internet Explorer 6.0 clients te ondersteunen, wat je niet moet willen
[14:52] <Maikel> SSL, waarom gebruiken we dat nog?
[14:52] <SCHAAP137> toch zie je het nog her en der aanstaan, en dan denk ik: waarom?
[14:53] <Maikel> op alle productie systemen heb ik hetr uitgezet
[14:53] <SCHAAP137> álle andere browsers die nu nog worden ontwikkeld/supported, kunnen met TLS 1.0 of hoger omgaan
[14:53] <Maikel> mensen die dat nog gebruiken, horen niet meer op het internet thuis
[14:55] <SCHAAP137> compatibility is een nonsens-argument, gebruikt door overheden en veiligheidsdiensten om zich toegang te kunnen blijven verschaffen tot bepaalde systemen, iig door mensen die er een belang bij hebben om bepaalde securityvernieuwingen tegen te houden
[14:55] <SCHAAP137> kan ook financieel gemotiveerd zijn, zo'n argument
[14:55] <SCHAAP137> desalniettemin is het op een technisch niveau complete Unsinn