Por que algumas opções "Usar TLS" e "Usar SSL" estão desativadas?


11

Estou realmente confuso - por que algumas das opções TLS / SSL estão desativadas por padrão?

insira a descrição da imagem aqui

Existe algum mal em ativá-los ou algo assim?

Respostas:


9

Na verdade, é mais seguro usar o TLS 1.1 / 1.2, pois relatórios recentes mostraram vulnerabilidade ao utilizar o TLS 1.0. Fonte: http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/

Conforme o relatório acima, o motivo pelo qual o TLS 1.0 ainda é usado porque:

Os principais culpados pela inércia são o pacote Network Security Services usado para implementar o SSL nos navegadores Firefox da Mozilla e Google Chrome, e o OpenSSL, uma biblioteca de código-fonte aberto que milhões de sites usam para implantar o TLS. Em uma espécie de impasse de galinha e ovo, nenhum dos kits de ferramentas oferece versões recentes do TLS, provavelmente porque o outro não.

"O problema é que as pessoas não vão melhorar as coisas, a menos que você lhes dê uma boa razão e, por uma boa razão, quero dizer uma exploração", disse Ivan Ristic, diretor de engenharia da Qualys. "É terrível, não é?"

Embora o Mozilla e os voluntários que mantêm o OpenSSL ainda não tenham implementado o TLS 1.2, a Microsoft teve um desempenho apenas um pouco melhor. As versões TLS seguras estão disponíveis no navegador Internet Explorer e no servidor Web IIS, mas não por padrão. O Opera também disponibiliza a versão 1.2, mas não é o padrão em seu navegador.

.

A Microsoft possui um Comunicado de segurança em busca de uma vulnerabilidade SSL e recomenda a ativação do TLS v1.1, existe uma correção nesta página para ajudá-lo a habilitá-lo corretamente.

. http://support.microsoft.com/kb/2588513

.


2
Eu tenho de fato ler esse artigo, mas o que eu não entendo é: Por que não verificar tudo ? Não é como se fosse favorecer o TLS 1.2 sobre o TLS 1.0 quando ambos estiverem disponíveis, não é?
user541686

@ Mehrdad: Vai favorecer a versão mais nova e mais segura - e a versão 1.2 é mais recente que a 1.0.
usar o seguinte comando

6

O SSL 2.0 não é seguro. SSL 3.0 e TLS 1.0 são os mais prevalentes. Mas, como Ar Sh mencionou, há relatos de vulnerabilidade no TLS 1.0.

Como a maioria dos servidores web implementa SSL 3.0 e TLS 1.0, a maioria dos navegadores ainda os utiliza e são os padrões.

Na minha opinião, você pode ativar o TLS 1.1 e 1.2, mas evite ativar o SSL 2.0, pois não é seguro.


O SSL 2.0 ativado afeta o uso do SSL 3.0? Se sim, por quê? (Se não, então por que deveria estar fora Não pode ser pior do que a falta de criptografia ...?)
user541686

2
O SLL 2.0 é mais fraco que o SSL 3.0. Durante o handshake, o servidor da Web pode solicitar ao navegador que use a criptografia mais fraca, se você ativar a opção. Agora imagine que você está usando um aplicativo bancário, prefere fazer login com criptografia fraca ou não fazer o login?
Ganesh R.

Essa é uma pergunta difícil! Eu não tenho certeza ... +1
user541686

Devido à sua insegurança, o SSL 2.0 está desativado em quase todos os servidores da web atualmente. Não faz sentido habilitá-lo no seu navegador.
usar o seguinte comando

1

Os problemas de interoperabilidade tls> 1.0 nunca foram totalmente resolvidos devido à falta de adoção; portanto, para garantir a segurança, muitos fornecedores nem mesmo o habilitam por padrão quando ele pode ser negociado.

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.