Я дуже розгублений - чому деякі параметри TLS / SSL вимкнено за замовчуванням?
Чи є якась шкода в їх включенні чи щось таке?
Я дуже розгублений - чому деякі параметри TLS / SSL вимкнено за замовчуванням?
Чи є якась шкода в їх включенні чи щось таке?
Відповіді:
Насправді, безпечніше використовувати TLS 1.1 / 1.2, оскільки останні звіти показали вразливість під час використання TLS 1.0. Джерело: http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/
Відповідно до вищезгаданого звіту, причина TLS 1.0 все ще використовується, оскільки:
Основними винуватцями інертності є пакет мережевих служб безпеки, який використовується для впровадження SSL у браузерах Mozilla Firefox та Google Chrome, і OpenSSL - бібліотека коду з відкритим кодом, яку мільйони веб-сайтів використовують для розгортання TLS. Щось із курячого та яєчного глухого кута, жоден інструментарій не пропонує останні версії TLS, імовірно, тому, що інша ні.
"Проблема полягає в тому, що люди не покращать речі, якщо ви не дасте їм вагомих причин, і я поважно маю на увазі подвиг", - сказав Іван Рістик, директор з інженерії Qualys. "Це жахливо, чи не так?"
Хоча Mozilla та добровольці, які підтримують OpenSSL, взагалі ще не впровадили TLS 1.2, Microsoft працювала лише трохи краще. Захищені версії TLS доступні в браузері Internet Explorer та веб-сервері IIS, але не за замовчуванням. Opera також робить версію 1.2 доступною, але не є типовою у своєму браузері.
.
Корпорація Майкрософт має рекомендації щодо безпеки щодо вразливості SSL і рекомендує включити TLS v1.1. На цій сторінці є корекція, яка допоможе в її належному включенні.
. http://support.microsoft.com/kb/2588513
.
SSL 2.0 небезпечний. Найбільш поширені SSL 3.0 та TLS 1.0. Але, як згадував Ar Sh, в TLS 1.0 є повідомлення про вразливість.
Оскільки більшість веб-серверів реалізують SSL 3.0 та TLS 1.0, більшість веб-браузерів все ще їх використовують і є типовими.
На мою думку, ви можете ввімкнути TLS 1.1 та 1.2, але уникати включення SSL 2.0, оскільки це небезпечно.