<div dir="ltr">I used the same tool about a week ago on <a href="http://bettercrypto.org:443">bettercrypto.org:443</a>. I mailed you guys to update to our current cipherstring (which also forbids SEED as well as the anon-DH ciphers old openssl versions might negotiate) :)<div><br></div><div>Aaron</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Oct 15, 2014 at 4:15 PM, Adi Kriegisch <span dir="ltr"><<a href="mailto:adi@kriegisch.at" target="_blank">adi@kriegisch.at</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hey!<br>
<span class=""><br>
> The<br>
> goal is to make it easier for admins to reach the intermediate level,<br>
> without asking a security expert to analyze their configuration.<br>
> It's<br>
> very opinionated, and I don't expect everyone to agree with its output.<br>
> But it serves Mozilla's needs.<br>
</span>Thank you for your great tool!<br>
<br>
> $ ./cipherscan <a href="http://bettercrypto.org" target="_blank">bettercrypto.org</a><br>
[...]<br>
<span class="">> $ ./analyze.py -t <a href="http://bettercrypto.org" target="_blank">bettercrypto.org</a><br>
> <a href="http://bettercrypto.org:443" target="_blank">bettercrypto.org:443</a> has bad ssl/tls<br>
</span>[...]<br>
<span class="">> * disable TLSv1<br>
> * disable SSLv3<br>
</span>I think this can be easily explained: we use a catchall page for non-SNI<br>
enabled browsers that allows older ciphers. Probably time to disable this<br>
page and remove that workaround from our paper. Non-SNI aware stuff like<br>
IE6 or Java 6 should not be used anyways.<br>
<span class="HOEnZb"><font color="#888888"><br>
-- Adi<br>
</font></span><br>-----BEGIN PGP SIGNATURE-----<br>
Version: GnuPG v1.4.6 (GNU/Linux)<br>
<br>
iQIVAwUBVD6BfXREfA6phVy/AQiD2xAAg4Tb49LZmDoHGCQxp2CZDIz325nKcFPx<br>
o+ABsEdANqVnhdoHxb8NbQdu0a5YbeMcu4g3kgt4bzQryXR9WnJIOAUYHVmOz/1H<br>
hkne/Xz/2RISM70kJov3n46UlfxM2dUAJRQopcqAPPixgU3jtpWAhu/CK3jwTegB<br>
T0Rp/PY2SSKeLEnMSJnXvIoiVq0iCg+vt1/Tjzjkl0pPd2bV2xxqgh2S089T0Tcf<br>
VD54c92BRqDIMiPqP81fgmeNQHDfa687uiCJyJZVzp84TceyZKHTSuH25B9pbPxh<br>
U0BvBuEKu4hudC/qtcKLUjAF/ltjpNdwB6zbdrbrJhdS5Zc4E2AMtApWHeHSoTgs<br>
rJQfTj1oJpwpxoF5cFYJVAELTVULTG07vJHpIfXWKXTcgFryHXCquj2spWBb3I75<br>
ap4QiktlAL48geGre6XNPhQOCaxItX82rz3tn+b+PcaFftGjUof+Z80f9oC1qOgZ<br>
trh0rH1XFQSDOPsfeQGXHCD13c3aNGDNjA1IxtNsa0/0FMs0lUjqrSwy+TOARaY7<br>
Efa/UQcPh5lWmSCtWebFUIJ9No9aIAWFVu6/tF2iPu9enk4ge2u9PHzFZjBpo3Nm<br>
kcuDG+Vm3wajeytu2uykd7NwHVPVYNKV7ymXTFs+rwWs68OqHbN1xiflQ70SNmBT<br>
UiB7jroUdiQ=<br>
=3Yy2<br>
-----END PGP SIGNATURE-----<br>
<br>_______________________________________________<br>
Ach mailing list<br>
<a href="mailto:Ach@lists.cert.at">Ach@lists.cert.at</a><br>
<a href="http://lists.cert.at/cgi-bin/mailman/listinfo/ach" target="_blank">http://lists.cert.at/cgi-bin/mailman/listinfo/ach</a><br>
<br></blockquote></div><br></div>