Почему некоторые опции «Использовать TLS» и «Использовать SSL» отключены?


11

Я действительно запутался - почему некоторые параметры TLS / SSL отключены по умолчанию?

введите описание изображения здесь

Есть ли вред в их включении или что-то?

Ответы:


9

На самом деле безопаснее использовать TLS 1.1 / 1.2, так как последние отчеты показали уязвимость при использовании TLS 1.0. Источник: http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/

Согласно вышеприведенному отчету причина TLS 1.0 все еще используется, потому что:

Основными виновниками инерции являются пакет Network Security Services, используемый для реализации SSL в браузерах Mozilla Firefox и Google Chrome, и OpenSSL, библиотека с открытым исходным кодом, которую миллионы веб-сайтов используют для развертывания TLS. В некотором тупике «курица и яйцо» ни один инструментарий не предлагает последние версии TLS, предположительно потому, что другой нет.

«Проблема в том, что люди не будут улучшать вещи, если вы не предоставите им вескую причину, и под хорошей причиной я подразумеваю подвиг», - сказал Иван Ристик, директор по инженерным разработкам Qualys. «Это ужасно, не правда ли?»

Хотя и Mozilla, и добровольцы, поддерживающие OpenSSL, еще не внедрили TLS 1.2, Microsoft показала себя лишь немного лучше. Безопасные версии TLS доступны в браузере Internet Explorer и веб-сервере IIS, но не по умолчанию. Opera также делает версию 1.2 доступной, но не может быть по умолчанию в своем браузере.

,

Корпорация Майкрософт предлагает рекомендации по безопасности для уязвимости SSL и рекомендует включить TLS v1.1. На этой странице есть исправление, помогающее правильно ее включить.

, http://support.microsoft.com/kb/2588513

,


2
Я есть на самом деле читал эту статью, но то , что я не понимаю: почему бы не проверить все ? Это не значит, что он предпочтет TLS 1.2, а не TLS 1.0, когда оба будут доступны, не так ли?
user541686

@Mehrdad: он будет отдавать предпочтение самой новой, самой безопасной версии - и 1.2 новее, чем 1.0.
user1686

6

SSL 2.0 небезопасен. SSL 3.0 и TLS 1.0 являются наиболее распространенными. Но, как упоминал Ар Ш, есть сообщения об уязвимости в TLS 1.0.

Поскольку большинство веб-серверов поддерживают SSL 3.0 и TLS 1.0, большинство веб-браузеров по-прежнему используют их и являются настройками по умолчанию.

На мой взгляд, вы можете включить TLS 1.1 и 1.2, но избегайте включения SSL 2.0, поскольку это небезопасно.


Влияет ли SSL 2.0 на использование SSL 3.0? Если так, то почему? (Если нет, то почему он должен быть выключен? Это не может быть хуже, чем отсутствие какого-либо шифрования ...)
user541686

2
SLL 2.0 слабее, чем SSL 3.0. Во время рукопожатия веб-сервер может попросить браузер использовать более слабое шифрование, если вы включите эту опцию. А теперь представьте, что вы используете банковское приложение, предпочитаете ли вы входить в систему со слабым шифрованием или не входить вообще?
Ганеш Р.

Это сложный вопрос! Я не уверен ... +1
user541686

Из-за своей незащищенности SSL 2.0 сегодня отключен почти на всех веб-серверах. Нет смысла включать его в вашем браузере.
user1686

1

Проблемы взаимодействия tls> 1.0 никогда не были полностью проработаны из-за отсутствия принятия, поэтому для обеспечения безопасности многие поставщики даже не включают его по умолчанию, когда о нем можно было просто договориться.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.