Jestem naprawdę zdezorientowany - dlaczego niektóre opcje TLS / SSL są domyślnie wyłączone ?
Czy jest coś złego w ich włączaniu?
źródło
Jestem naprawdę zdezorientowany - dlaczego niektóre opcje TLS / SSL są domyślnie wyłączone ?
Czy jest coś złego w ich włączaniu?
W rzeczywistości bezpieczniej jest używać TLS 1.1 / 1.2, ponieważ ostatnie raporty wykazały podatność podczas korzystania z TLS 1.0. Źródło: http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/
Zgodnie z powyższym raportem powód TLS 1.0 jest nadal używany, ponieważ:
Głównymi winowajcami bezwładności są pakiet Network Security Services używany do implementacji SSL w przeglądarkach Mozilla Firefox i Google Chrome oraz OpenSSL, biblioteka kodów open source, której miliony stron używają do wdrażania TLS. W czymś w rodzaju impasu z kurczaka i jaj, żaden zestaw narzędzi nie oferuje najnowszych wersji TLS, prawdopodobnie dlatego, że drugi nie.
„Problem polega na tym, że ludzie nie poprawią rzeczy, chyba że podasz im dobry powód, a przez dobry powód mam na myśli exploit” - powiedział Ivan Ristic, dyrektor inżynierii Qualys. „To okropne, prawda?”
Chociaż zarówno Mozilla, jak i wolontariusze utrzymujący OpenSSL w ogóle nie wdrożyli TLS 1.2, Microsoft osiągnął tylko nieznacznie lepsze wyniki. Bezpieczne wersje TLS są dostępne w przeglądarce Internet Explorer i serwerze internetowym IIS, ale domyślnie nie. Opera udostępnia także wersję 1.2, ale nie jest domyślna w swojej przeglądarce.
.
Firma Microsoft opublikowała Poradnik bezpieczeństwa dotyczący luki w zabezpieczeniach SSL i zaleca włączenie protokołu TLS 1.1, na tej stronie jest poprawka, która pomaga w prawidłowym włączeniu.
. http://support.microsoft.com/kb/2588513
.
SSL 2.0 jest niebezpieczny. Najbardziej rozpowszechnione są SSL 3.0 i TLS 1.0. Ale jak wspomniano Ar Sh, istnieją doniesienia o podatności na ataki w TLS 1.0.
Ponieważ większość serwerów WWW implementuje SSL 3.0 i TLS 1.0, większość przeglądarek internetowych nadal z nich korzysta i są ustawieniami domyślnymi.
Moim zdaniem możesz włączyć TLS 1.1 i 1.2, ale unikaj włączania SSL 2.0, ponieważ jest to niebezpieczne.
źródło
Problemy z interakcją tls> 1.0 nigdy nie zostały w pełni rozwiązane z powodu braku adaptacji, więc dla bezpieczeństwa wielu sprzedawców nawet nie włącza domyślnie, gdy można po prostu wynegocjować.
źródło