8

Я заметил, что многие руководства говорят, что вы должны отключить поддержку SSL v2 при настройке SSL на веб-сервере.

Я не могу понять причину. Может кто-нибудь сказать мне, почему, пожалуйста?

1 ответ1

12

Википедия:

SSL 2.0 имеет множество недостатков: 1

  • Идентичные криптографические ключи используются для аутентификации и шифрования сообщений.
  • SSL 2.0 имеет слабую структуру MAC, которая использует хеш-функцию MD5 с секретным префиксом, что делает его уязвимым для атак с удлинением длины.
  • SSL 2.0 не имеет никакой защиты для рукопожатия, а это означает, что атака понижения уровня «человек посередине» может остаться незамеченной.
  • SSL 2.0 использует соединение TCP близко, чтобы указать конец данных. Это означает, что атаки с усечением возможны: злоумышленник просто подделывает TCP FIN, оставляя получателя не осведомленным о незаконном конце сообщения данных (SSL 3.0 исправляет эту проблему с помощью явного предупреждения о закрытии).
  • SSL 2.0 предполагает единый сервис и сертификат фиксированного домена, что противоречит стандартной функции виртуального хостинга на веб-серверах. Это означает, что большинство веб-сайтов практически не используют SSL. TLS/SNI исправляет это, но еще не развернут на веб-серверах.

1: http://en.wikipedia.org/wiki/Transport_Layer_Security#SSL_1.0.2C_2.0_and_3.0

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .