Add a warning that disabling server validation is not recommended

author Neil Horman <nhorman@openssl.org>

Fri, 6 Dec 2024 16:28:02 +0000 (11:28 -0500)

committer Neil Horman <nhorman@openssl.org>

Sat, 11 Jan 2025 21:02:29 +0000 (16:02 -0500)
author Neil Horman <nhorman@openssl.org>
Fri, 6 Dec 2024 16:28:02 +0000 (11:28 -0500)
committer Neil Horman <nhorman@openssl.org>
Sat, 11 Jan 2025 21:02:29 +0000 (16:02 -0500)
diff --git a/doc/man3/SSL_new_listener.pod b/doc/man3/SSL_new_listener.pod

index e8c41fa66bea21353a4c51b958568494b67ee296..01fd2fca85e10983085395d0d50954e995752631 100644 (file)
--- a/doc/man3/SSL_new_listener.pod
+++ b/doc/man3/SSL_new_listener.pod
@@ -168,7 +168,11 @@ B<SSL_LISTENER_FLAG_NO_VALIDATE> may be passed in the flags field of both
  SSL_new_listener() and SSL_new_listener_from().  Note that this flag only
  impacts the sending of retry frames for server address validation.  Tokens may
  still be communicated from the server via NEW_TOKEN frames, which will still
-be validated on receipt in future connections.
+be validated on receipt in future connections.  Note that this setting is not
+recommended and may be dangerous in untrusted environments.  Not performing
+address validation exposes the server to malicious clients that may open large
+numbers of connections and never transact data on them (roughly equivalent to
+a TCP syn flood attack), which address validation mitigates.
  
  The SSL_new_from_listener() creates a client connection under a given listener
  SSL object. For QUIC, it is also possible to use SSL_new_from_listener() in
author	Neil Horman <nhorman@openssl.org>
	Fri, 6 Dec 2024 16:28:02 +0000 (11:28 -0500)
committer	Neil Horman <nhorman@openssl.org>
	Sat, 11 Jan 2025 21:02:29 +0000 (16:02 -0500)