Pregunta ¿Por qué están desactivadas algunas opciones de "Usar TLS" y "Usar SSL"?


Estoy realmente confundido: ¿por qué se han cambiado algunas de las opciones de TLS / SSL? apagado ¿por defecto?

enter image description here

¿Hay algún daño al encenderlos o algo así?


11


origen




Respuestas:


En realidad, es más seguro usar TLS 1.1 / 1.2, ya que los informes recientes han mostrado vulnerabilidad al utilizar TLS 1.0. Fuente: http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/

Según el informe anterior, la razón por la que TLS 1.0 se sigue utilizando porque:

Los principales culpables de la inercia son los servicios de seguridad de red   paquete utilizado para implementar SSL en Firefox de Mozilla y Chrome de Google   navegadores, y OpenSSL, una biblioteca de código abierto que millones de   sitios web utilizan para implementar TLS. En algo así como un callejón sin salida de pollo y huevo,   ninguno de los juegos de herramientas ofrece versiones recientes de TLS, presumiblemente porque el   otro no.

"El problema es que las personas no mejorarán las cosas a menos que les des un   una buena razón, y por una buena razón me refiero a un exploit ", dijo Ivan   Ristic, director de ingeniería de Qualys. "Es terrible, ¿no?"

Si bien tanto Mozilla como los voluntarios que mantienen OpenSSL aún tienen que   implementar TLS 1.2 en absoluto, Microsoft ha realizado solo un poco   mejor. Las versiones seguras de TLS están disponibles en su Internet Explorer   navegador y servidor web IIS, pero no de forma predeterminada. Opera también hace   la versión 1.2 está disponible pero no está predeterminada en su navegador.

.

Microsoft tiene una advertencia de seguridad para una vulnerabilidad SSL y recomienda habilitar TLS v1.1, hay una solución en esta página para ayudar a habilitarla correctamente.

. http://support.microsoft.com/kb/2588513

.


9



yo tener De hecho, leí ese artículo, pero lo que no entiendo es: ¿por qué no verificarlo? todo? No es que vaya a favorecer a TLS 1.2 sobre TLS 1.0 cuando ambos están disponibles, ¿o sí? - Mehrdad
@Mehrdad: va a favorecer a la versión más nueva y más segura, y 1.2 es más nuevo que el 1.0. - grawity


SSL 2.0 no es seguro. SSL 3.0 y TLS 1.0 son los más frecuentes. Pero como lo mencionó Ar Sh, hay informes de vulnerabilidad en TLS 1.0.

Como la mayoría de los servidores web implementan SSL 3.0 y TLS 1.0, la mayoría de los navegadores web todavía los usan y son los predeterminados.

En mi opinión, puede activar TLS 1.1 y 1.2, pero evite habilitar SSL 2.0 ya que no es seguro.


6



¿El SSL 2.0 está activado afecta el uso de SSL 3.0? Si es así, ¿por qué? (Si no, ¿por qué debería estar apagado? No puede ser peor que la falta de encriptación ...) - Mehrdad
SLL 2.0 es más débil que SSL 3.0. Durante el protocolo de enlace, el servidor web puede solicitarle al navegador que use el cifrado más débil si habilita la opción. Ahora imagine que está utilizando una aplicación bancaria, ¿prefiere iniciar sesión con un cifrado débil o no iniciar sesión en absoluto? - Ganesh R.
¡Esa es una pregunta difícil! No estoy seguro ... +1 - Mehrdad
Debido a su inseguridad, SSL 2.0 está desactivado en casi todos los servidores web de hoy. No tiene sentido habilitarlo en su navegador. - grawity


tls> 1.0 problemas de interoperabilidad nunca se han resuelto por completo debido a la falta de adopción, por lo tanto, para estar seguros, muchos proveedores ni siquiera lo habilitan por defecto cuando podría negociarse.


1