Update "CipherList" to not enable SSLv3 by default
authorAlexander Barton <alex@barton.de>
Thu, 16 Oct 2014 11:42:24 +0000 (13:42 +0200)
committerAlexander Barton <alex@barton.de>
Thu, 16 Oct 2014 11:42:24 +0000 (13:42 +0200)
Idea, initial patch, and testing by Christoph Biedl
<ngircd.anoy@manchmal.in-ulm.de>

doc/sample-ngircd.conf.tmpl
man/ngircd.conf.5.tmpl
src/ngircd/conf.c

index 1d07822..b5db1d9 100644 (file)
        # See 'man 1ssl ciphers' (OpenSSL) or 'man 3 gnutls_priority_init'
        # (GnuTLS) for details.
        # For OpenSSL:
-       ;CipherList = HIGH:!aNULL:@STRENGTH
+       ;CipherList = HIGH:!aNULL:@STRENGTH:!SSLv3
        # For GnuTLS:
-       ;CipherList = SECURE128
+       ;CipherList = SECURE128:-VERS-SSL3.0
 
        # Diffie-Hellman parameters
        ;DHFile = :ETCDIR:/ssl/dhparams.pem
index 9b2ed08..0d57f90 100644 (file)
@@ -1,7 +1,7 @@
 .\"
 .\" ngircd.conf(5) manual page template
 .\"
-.TH ngircd.conf 5 "Jan 2014" ngIRCd "ngIRCd Manual"
+.TH ngircd.conf 5 "Oct 2014" ngIRCd "ngIRCd Manual"
 .SH NAME
 ngircd.conf \- configuration file of ngIRCd
 .SH SYNOPSIS
@@ -375,7 +375,7 @@ SSL Certificate file of the private server key.
 .TP
 \fBCipherList\fR (string)
 Select cipher suites allowed for SSL/TLS connections.  This defaults to
-"HIGH:!aNULL:@STRENGTH" (OpenSSL) or "SECURE128" (GnuTLS).
+"HIGH:!aNULL:@STRENGTH:!SSLv3" (OpenSSL) or "SECURE128:-VERS-SSL3.0" (GnuTLS).
 Please see 'man 1ssl ciphers' (OpenSSL) and 'man 3 gnutls_priority_init'
 (GnuTLS) for details.
 .TP
index 6692ecb..5f8c392 100644 (file)
@@ -88,10 +88,10 @@ static void Init_Server_Struct PARAMS(( CONF_SERVER *Server ));
 #endif
 
 #ifdef HAVE_LIBSSL
-#define DEFAULT_CIPHERS                "HIGH:!aNULL:@STRENGTH"
+#define DEFAULT_CIPHERS                "HIGH:!aNULL:@STRENGTH:!SSLv3"
 #endif
 #ifdef HAVE_LIBGNUTLS
-#define DEFAULT_CIPHERS                "SECURE128"
+#define DEFAULT_CIPHERS                "SECURE128:-VERS-SSL3.0"
 #endif
 
 #ifdef SSL_SUPPORT