Estou realmente confuso - por que algumas das opções TLS / SSL estão desativadas por padrão?
Existe algum mal em ativá-los ou algo assim?
Estou realmente confuso - por que algumas das opções TLS / SSL estão desativadas por padrão?
Existe algum mal em ativá-los ou algo assim?
Respostas:
Na verdade, é mais seguro usar o TLS 1.1 / 1.2, pois relatórios recentes mostraram vulnerabilidade ao utilizar o TLS 1.0. Fonte: http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/
Conforme o relatório acima, o motivo pelo qual o TLS 1.0 ainda é usado porque:
Os principais culpados pela inércia são o pacote Network Security Services usado para implementar o SSL nos navegadores Firefox da Mozilla e Google Chrome, e o OpenSSL, uma biblioteca de código-fonte aberto que milhões de sites usam para implantar o TLS. Em uma espécie de impasse de galinha e ovo, nenhum dos kits de ferramentas oferece versões recentes do TLS, provavelmente porque o outro não.
"O problema é que as pessoas não vão melhorar as coisas, a menos que você lhes dê uma boa razão e, por uma boa razão, quero dizer uma exploração", disse Ivan Ristic, diretor de engenharia da Qualys. "É terrível, não é?"
Embora o Mozilla e os voluntários que mantêm o OpenSSL ainda não tenham implementado o TLS 1.2, a Microsoft teve um desempenho apenas um pouco melhor. As versões TLS seguras estão disponíveis no navegador Internet Explorer e no servidor Web IIS, mas não por padrão. O Opera também disponibiliza a versão 1.2, mas não é o padrão em seu navegador.
.
A Microsoft possui um Comunicado de segurança em busca de uma vulnerabilidade SSL e recomenda a ativação do TLS v1.1, existe uma correção nesta página para ajudá-lo a habilitá-lo corretamente.
. http://support.microsoft.com/kb/2588513
.
O SSL 2.0 não é seguro. SSL 3.0 e TLS 1.0 são os mais prevalentes. Mas, como Ar Sh mencionou, há relatos de vulnerabilidade no TLS 1.0.
Como a maioria dos servidores web implementa SSL 3.0 e TLS 1.0, a maioria dos navegadores ainda os utiliza e são os padrões.
Na minha opinião, você pode ativar o TLS 1.1 e 1.2, mas evite ativar o SSL 2.0, pois não é seguro.