Perché alcune opzioni "Usa TLS" e "Usa SSL" sono disattivate?

11

Sono davvero confuso: perché alcune delle opzioni TLS / SSL sono disattivate per impostazione predefinita?

inserisci qui la descrizione dell'immagine

C'è qualche danno nell'accenderli o qualcosa del genere?

windows  internet-explorer 
user541686
fonte

Risposte:

9

In realtà, è più sicuro utilizzare TLS 1.1 / 1.2, poiché i rapporti recenti hanno mostrato vulnerabilità durante l'utilizzo di TLS 1.0. Fonte: http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/

Secondo il rapporto precedente, il motivo TLS 1.0 è ancora utilizzato perché:

I principali colpevoli dell'inerzia sono il pacchetto Network Security Services utilizzato per implementare SSL nei browser Mozilla Firefox e Google Chrome e OpenSSL, una libreria di codici open source che milioni di siti Web utilizzano per distribuire TLS. In una specie di vicolo cieco, nessuno dei due toolkit offre versioni recenti di TLS, presumibilmente perché l'altro no.

"Il problema è che le persone non miglioreranno le cose a meno che tu non dia loro una buona ragione, e per una buona ragione intendo un exploit", ha dichiarato Ivan Ristic, direttore dell'ingegneria di Qualys. "È terribile, no?"

Mentre sia Mozilla che i volontari che mantengono OpenSSL devono ancora implementare TLS 1.2, Microsoft ha ottenuto risultati leggermente migliori. Le versioni Secure TLS sono disponibili nel browser Internet Explorer e nel server Web IIS, ma non per impostazione predefinita. Opera rende disponibile anche la versione 1.2 ma non è quella predefinita nel suo browser.

.

Microsoft ha pubblicato un avviso di sicurezza relativo a una vulnerabilità SSL e consiglia di abilitare TLS v1.1, in questa pagina è disponibile un fixit che consente di abilitarlo correttamente.

. http://support.microsoft.com/kb/2588513

.

Ar Sh
fonte
2
Io ho infatti letto l'articolo, ma quello che non capisco è: Perché non verificare tutto ? Non è che favorirà TLS 1.2 rispetto a TLS 1.0 quando entrambi saranno disponibili, vero?
user541686
@Mehrdad: favorirà la versione più recente e sicura - e 1.2 è più recente di 1.0.
user1686
6

SSL 2.0 non è sicuro. SSL 3.0 e TLS 1.0 sono i più diffusi. Ma come ha detto Ar Sh, ci sono segnalazioni di vulnerabilità in TLS 1.0.

Poiché la maggior parte dei server Web implementa SSL 3.0 e TLS 1.0, la maggior parte dei browser Web li utilizza ancora e sono i valori predefiniti.

A mio avviso, è possibile abilitare TLS 1.1 e 1.2 ma evitare di abilitare SSL 2.0 poiché non è sicuro.

Ganesh R.
fonte
SSL 2.0 attivo influenza l'uso di SSL 3.0? Se è così, perché? (In caso contrario, perché dovrebbe essere spento? Non può essere peggio della mancanza di alcuna crittografia ...)
user541686
2
SLL 2.0 è più debole di SSL 3.0. Durante l'handshake, il server Web può chiedere al browser di utilizzare la crittografia più debole se si abilita l'opzione. Ora immagina di utilizzare un'applicazione bancaria, preferiresti effettuare l'accesso con una crittografia debole o non accedere affatto?
Ganesh R.,
Questa è una domanda difficile! Non sono sicuro ... +1
user541686
A causa della sua insicurezza, SSL 2.0 è disabilitato in quasi tutti i server web oggi. Non ha senso abilitarlo nel tuo browser.
user1686
1

tls> 1.0 i problemi di interoperabilità non sono mai stati completamente risolti a causa della mancanza di adozione, quindi per sicurezza molti venditori non lo abilitano nemmeno per impostazione predefinita quando potrebbe essere semplicemente negoziato.

covener
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.