<html>
  <head>
    <meta content="text/html; charset=ISO-8859-1"
      http-equiv="Content-Type">
  </head>
  <body text="#000000" bgcolor="#FFFFFF">
    <div class="moz-cite-prefix">Hi Juan,<br>
      <br>
      On 03/28/13 21:55, Juan Lang wrote:<br>
    </div>
    <blockquote
cite="mid:CAP8JoYgKXBd1fTe3g2Mm4Gy=2GiaD03TqdT9DENA_M+ZBhL_vQ@mail.gmail.com"
      type="cite">
      <div dir="ltr">On Thu, Mar 28, 2013 at 12:31 PM, Ken Thomases <span
          dir="ltr"><<a moz-do-not-send="true"
            href="mailto:ken@codeweavers.com" target="_blank">ken@codeweavers.com</a>></span>
        wrote:<br>
        <div class="gmail_extra">
          <div class="gmail_quote">
            <blockquote class="gmail_quote" style="margin:0px 0px 0px
0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">On
              Mar 28, 2013, at 6:05 AM, Jacek Caban wrote:<br>
              <br>
              > --- a/dlls/secur32/schannel_macosx.c<br>
              > +++ b/dlls/secur32/schannel_macosx.c<br>
              > @@ -630,6 +630,11 @@ static OSStatus
              schan_push_adapter(SSLConnectionRef transport, const void
              *buff,<br>
              >      return ret;<br>
              >  }<br>
              ><br>
              > +DWORD schan_imp_enabled_protocols(void)<br>
              > +{<br>
              > +    /* NOTE: No support for TLS 1.1 and TLS 1.2 */<br>
              > +    return SP_PROT_SSL2_CLIENT | SP_PROT_SSL3_CLIENT
              | SP_PROT_TLS1_0_CLIENT;<br>
            </blockquote>
            <div><br>
            </div>
            <div style="">Do we really want to continue supporting SSL2?
              It's got a number of vulnerabilities, and is disabled
              pretty much everywhere by now:</div>
            <div style=""><a moz-do-not-send="true"
                href="http://en.wikipedia.org/wiki/Transport_Layer_Security#SSL_2.0">http://en.wikipedia.org/wiki/Transport_Layer_Security#SSL_2.0</a></div>
          </div>
        </div>
      </div>
    </blockquote>
    <br>
    I implemented it the way it's done in Windows. It's a bit
    under-documented and contains usual MSDN mistakes, so let me explain
    what I found when testing Windows (most of it is implemented by
<a class="moz-txt-link-freetext" href="http://source.winehq.org/git/wine.git/commitdiff/0f2e0365ea1f5c6baba4cfd9c0ff69defe66d7ea">http://source.winehq.org/git/wine.git/commitdiff/0f2e0365ea1f5c6baba4cfd9c0ff69defe66d7ea</a>).<br>
    <br>
    Each protocol has two kinds of enable/disable flags: "enabled" and
    "disabled by default". Those have different default values for each
    protocol and there are registry setting allowing to change each of
    them. Only "enabled" protocols are used at all. This patch limits
    "enabled" protocols to those that we can really support. If an
    application asks schannel to use default set of protocols (which I'd
    expect them to do unless they have a good reason), schannel will use
    all "enabled" protocols that are not "disabled by default". An
    alternative to default set of protocols is listing each allowed
    separately.<br>
    <br>
    This means that if protocol is "enabled" and "disabled by default"
    it won't be used unless application explicitly asks for it. SSL2 is
    such a protocol by default. Do you think we should do this
    differently?<br>
    <br>
    Thanks,<br>
    Jacek<br>
  </body>
</html>