SSL toetab mitut anonüümset šifripaketti, näiteks TLS_DH_anon_WITH_AES_256_GCM_SHA384. Nende kasutamisel autentimist ei toimu ja sertifikaate ei vahetata. See tähendab, et kui neid kasutatakse, on teil MitM-i rünnakute oht.
Varem olen neid lubanud ainult siis, kui keegi on iga šifri komplekti ekslikult lubanud. Täna märkasin, et üleriigilises internetipangas on lubatud üks anonüümne šifrikomplekt.
See sunnib mind uskuma, et see lisati pigem tahtlikult, mitte kogemata.
Millised on veebisaidi anonüümsete šifrikomplektide kasutamise juhtumid?