Vulnerabilità man-in-the-middle per SSL e TLS
Riporto i link di una vulnerabilità di SSL e TLS con cui è possibile intercettare traffico cifrato:
http://extendedsubset.com/?p=8
http://www.ietf.org/mail-archive/web/tls/current/msg03928.html
Alcune prime patch di test per le implementazioni di openssl stanno facendo capolino, anche se sta intervenendo il gruppo IETF perché pare che il problema risieda nelle specifiche per la negoziazione dei certificati tra client e server, in particolare in caso di rinegoziazione della sessione.
I dettagli per le modifiche proposte le trovate qui: https://svn.resiprocate.org/rep/ietf-drafts/ekr/draft-rescorla-tls-renegotiate.txt.
Attendiamo fiduciosi di poter applicare le patch sui nostri client e server per questo problema che pare molto serio.