Dlaczego niektóre opcje „Użyj TLS” i „Użyj SSL” są wyłączone?

11

Jestem naprawdę zdezorientowany - dlaczego niektóre opcje TLS / SSL są domyślnie wyłączone ?

wprowadź opis zdjęcia tutaj

Czy jest coś złego w ich włączaniu?

użytkownik541686
źródło

Odpowiedzi:

9

W rzeczywistości bezpieczniej jest używać TLS 1.1 / 1.2, ponieważ ostatnie raporty wykazały podatność podczas korzystania z TLS 1.0. Źródło: http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/

Zgodnie z powyższym raportem powód TLS 1.0 jest nadal używany, ponieważ:

Głównymi winowajcami bezwładności są pakiet Network Security Services używany do implementacji SSL w przeglądarkach Mozilla Firefox i Google Chrome oraz OpenSSL, biblioteka kodów open source, której miliony stron używają do wdrażania TLS. W czymś w rodzaju impasu z kurczaka i jaj, żaden zestaw narzędzi nie oferuje najnowszych wersji TLS, prawdopodobnie dlatego, że drugi nie.

„Problem polega na tym, że ludzie nie poprawią rzeczy, chyba że podasz im dobry powód, a przez dobry powód mam na myśli exploit” - powiedział Ivan Ristic, dyrektor inżynierii Qualys. „To okropne, prawda?”

Chociaż zarówno Mozilla, jak i wolontariusze utrzymujący OpenSSL w ogóle nie wdrożyli TLS 1.2, Microsoft osiągnął tylko nieznacznie lepsze wyniki. Bezpieczne wersje TLS są dostępne w przeglądarce Internet Explorer i serwerze internetowym IIS, ale domyślnie nie. Opera udostępnia także wersję 1.2, ale nie jest domyślna w swojej przeglądarce.

.

Firma Microsoft opublikowała Poradnik bezpieczeństwa dotyczący luki w zabezpieczeniach SSL i zaleca włączenie protokołu TLS 1.1, na tej stronie jest poprawka, która pomaga w prawidłowym włączeniu.

. http://support.microsoft.com/kb/2588513

.

Ar Sh
źródło
2
I mają rzeczywiście czytać ten artykuł, ale co ja nie rozumiem: dlaczego nie sprawdzić wszystko ? To nie tak, że będzie faworyzować TLS 1.2 niż TLS 1.0, gdy oba będą dostępne, prawda?
user541686,
@Mehrdad: Będzie faworyzować najnowszą, najbezpieczniejszą wersję - a 1.2 jest nowsza niż 1.0.
user1686,
6

SSL 2.0 jest niebezpieczny. Najbardziej rozpowszechnione są SSL 3.0 i TLS 1.0. Ale jak wspomniano Ar Sh, istnieją doniesienia o podatności na ataki w TLS 1.0.

Ponieważ większość serwerów WWW implementuje SSL 3.0 i TLS 1.0, większość przeglądarek internetowych nadal z nich korzysta i są ustawieniami domyślnymi.

Moim zdaniem możesz włączyć TLS 1.1 i 1.2, ale unikaj włączania SSL 2.0, ponieważ jest to niebezpieczne.

Ganesh R.
źródło
Czy włączony protokół SSL 2.0 wpływa na korzystanie z protokołu SSL 3.0? Jeśli tak, to dlaczego? (Jeśli nie, to dlaczego
miałoby
2
SLL 2.0 jest słabszy niż SSL 3.0. Podczas uzgadniania serwer internetowy może poprosić przeglądarkę o użycie słabszego szyfrowania, jeśli włączysz tę opcję. Teraz wyobraź sobie, że korzystasz z aplikacji bankowej. Czy wolisz zalogować się przy użyciu słabego szyfrowania, czy nie logować się wcale?
Ganesh R.
To trudne pytanie! Nie jestem pewien ... +1
użytkownik541686
Ze względu na brak bezpieczeństwa protokół SSL 2.0 jest obecnie wyłączony na prawie wszystkich serwerach WWW. Nie ma sensu włączać go w przeglądarce.
user1686,
1

Problemy z interakcją tls> 1.0 nigdy nie zostały w pełni rozwiązane z powodu braku adaptacji, więc dla bezpieczeństwa wielu sprzedawców nawet nie włącza domyślnie, gdy można po prostu wynegocjować.

kowboj
źródło