ฉันสับสนจริงๆ - ทำไมตัวเลือก TLS / SSL บางตัวจึงถูกปิดโดยปริยาย
มีอันตรายในการเปิดพวกเขาหรืออะไร?
ฉันสับสนจริงๆ - ทำไมตัวเลือก TLS / SSL บางตัวจึงถูกปิดโดยปริยาย
มีอันตรายในการเปิดพวกเขาหรืออะไร?
คำตอบ:
ที่จริงแล้วจะปลอดภัยกว่าเมื่อใช้ TLS 1.1 / 1.2 เนื่องจากรายงานล่าสุดแสดงช่องโหว่ในขณะที่ใช้ TLS 1.0 ที่มา: http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/
ตามรายงานข้างต้นเหตุผลที่ยังคงใช้ TLS 1.0 เนื่องจาก:
ผู้กระทำผิดหลักสำหรับความเฉื่อยคือแพ็คเกจ Network Security Services ที่ใช้ในการติดตั้ง SSL ใน Mozilla ของ Firefox และ Google Chrome เบราว์เซอร์ของ Chrome และ OpenSSL ซึ่งเป็นไลบรารีโค้ดโอเพนซอร์สที่เว็บไซต์หลายล้านแห่งใช้ในการปรับใช้ TLS ในบางสิ่งที่อับจนไก่และไข่ชุดเครื่องมือทั้งสองไม่มี TLS รุ่นล่าสุดน่าจะเป็นเพราะอีกอันหนึ่งไม่มี
“ ปัญหาคือคนจะไม่ปรับปรุงสิ่งต่าง ๆ เว้นแต่คุณจะให้เหตุผลที่ดีแก่พวกเขาและด้วยเหตุผลที่ดีฉันหมายถึงการหาประโยชน์” Ivan Ristic ผู้อำนวยการฝ่ายวิศวกรรมของ Qualys กล่าว “ มันแย่มากใช่มั้ย”
ในขณะที่ Mozilla และอาสาสมัครที่ดูแล OpenSSL ยังไม่ได้ติดตั้ง TLS 1.2 แต่ Microsoft ก็ทำได้ดีกว่าเล็กน้อย รุ่น TLS ที่ปลอดภัยนั้นมีอยู่ในเบราว์เซอร์ Internet Explorer และ IIS เว็บเซิร์ฟเวอร์โดยค่าเริ่มต้นจะไม่ใช่ Opera ยังทำให้รุ่น 1.2 พร้อมใช้งาน แต่ไม่ได้เป็นค่าเริ่มต้นในเบราว์เซอร์
.
Microsoft มีคำแนะนำเพื่อความปลอดภัยเกี่ยวกับช่องโหว่ SSL และแนะนำให้เปิดใช้งาน TLS v1.1 มีการแก้ไขในหน้านี้เพื่อช่วยในการเปิดใช้งานอย่างถูกต้อง
. http://support.microsoft.com/kb/2588513
.
SSL 2.0 ไม่ปลอดภัย SSL 3.0 และ TLS 1.0 แพร่หลายมากที่สุด แต่ตามที่ Sh Sh กล่าวมีรายงานว่ามีช่องโหว่ใน TLS 1.0
เนื่องจากเว็บเซิร์ฟเวอร์ส่วนใหญ่ใช้ SSL 3.0 และ TLS 1.0 เว็บเบราว์เซอร์ส่วนใหญ่จึงยังคงใช้มันและเป็นค่าเริ่มต้น
ในความคิดของฉันคุณสามารถเปิดใช้งาน TLS 1.1 และ 1.2 แต่หลีกเลี่ยงการเปิดใช้งาน SSL 2.0 เนื่องจากไม่ปลอดภัย
tls> 1.0 ปัญหาการทำงานร่วมกันไม่เคยเกิดขึ้นอย่างเต็มที่เนื่องจากขาดการยอมรับดังนั้นเพื่อความปลอดภัยผู้ขายจำนวนมากไม่ได้เปิดใช้งานโดยค่าเริ่มต้นเมื่อสามารถเจรจาต่อรองได้