Я действительно запутался - почему некоторые параметры TLS/SSL отключены по умолчанию?
Есть ли вред в их включении или что-то?
3 ответа
9
На самом деле безопаснее использовать TLS 1.1 / 1.2, так как последние отчеты показали уязвимость при использовании TLS 1.0. Источник: http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/
Согласно вышеприведенному отчету причина TLS 1.0 все еще используется, потому что:
Основными виновниками инерции являются пакет Network Security Services, используемый для реализации SSL в браузерах Mozilla Firefox и Google Chrome, и OpenSSL, библиотека с открытым исходным кодом, которую миллионы веб-сайтов используют для развертывания TLS. В некотором тупике «курица и яйцо» ни один из наборов инструментов не предлагает последние версии TLS, предположительно потому, что другой нет.
«Проблема в том, что люди не будут улучшать вещи, если вы не предоставите им вескую причину, и под хорошей причиной я подразумеваю подвиг», - сказал Иван Ристик, технический директор Qualys. «Это ужасно, не правда ли?»
Хотя и Mozilla, и добровольцы, поддерживающие OpenSSL, еще не внедрили TLS 1.2, Microsoft показала себя лишь немного лучше. Версии Secure TLS доступны в браузере Internet Explorer и веб-сервере IIS, но не по умолчанию. Opera также делает версию 1.2 доступной, но не по умолчанию в своем браузере.
,
Корпорация Майкрософт предлагает рекомендации по безопасности для уязвимости SSL и рекомендует включить TLS v1.1. На этой странице есть исправление, помогающее правильно ее включить.
, http://support.microsoft.com/kb/2588513
,
6
SSL 2.0 небезопасен. SSL 3.0 и TLS 1.0 являются наиболее распространенными. Но, как упоминал Ар Ш, есть сообщения об уязвимостях в TLS 1.0.
Поскольку большинство веб-серверов поддерживают SSL 3.0 и TLS 1.0, большинство веб-браузеров по-прежнему используют их и являются настройками по умолчанию.
На мой взгляд, вы можете включить TLS 1.1 и 1.2, но избегайте включения SSL 2.0, поскольку это небезопасно.
1
Проблемы взаимодействия tls> 1.0 никогда не были полностью проработаны из-за недостатка адаптации, поэтому многие поставщики в целях безопасности даже не включают его по умолчанию, когда о нем можно было просто договориться.