Küsimus:
Millised on anonüümsete SSL-i šifrikomplektide kasutamisjuhud?
Cybergibbons
2016-02-13 14:25:42 UTC
view on stackexchange narkive permalink

SSL toetab mitut anonüümset šifripaketti, näiteks TLS_DH_anon_WITH_AES_256_GCM_SHA384. Nende kasutamisel autentimist ei toimu ja sertifikaate ei vahetata. See tähendab, et kui neid kasutatakse, on teil MitM-i rünnakute oht.

Varem olen neid lubanud ainult siis, kui keegi on iga šifri komplekti ekslikult lubanud. Täna märkasin, et üleriigilises internetipangas on lubatud üks anonüümne šifrikomplekt.

See sunnib mind uskuma, et see lisati pigem tahtlikult, mitte kogemata.

Millised on veebisaidi anonüümsete šifrikomplektide kasutamise juhtumid?

Hea meel on üleriigilise meistri ... mõtete päevavalgele toomise eest.
Pöörduge Nationwise'i tehnilise toe või nende kuritarvitamise kontakti poole, lisades lingi oma saidi [ssllabs] (https://ssllabs.com) testitulemustele. Nad peavad selle kohe parandama ja välja selgitama, kes selle salakomplekti lisas.
Kaks vastused:
symcbean
2016-02-14 06:25:36 UTC
view on stackexchange narkive permalink

See, et TLS sisaldab sellist võimekust, pole ilma mõjuva põhjuseta.

See näeb ette konfidentsiaalsuse ilma sertifikaadi volitusi vajamata - lõpp-punkt peab olema konfigureeritud mäletama, milliseid sertifikaate ta aktsepteerib, millise sertifikaadi asemel ametivõimude poolt. See on täiesti erinev usaldusmudel kui tavaliselt Internetis ja seda ei tohiks kasutada avalikul veebisaidil.

Ma ei eeldaks, et see salakiri oleks saadaval üheski brauseris.

+1 alternatiivse kasutusjuhtumi korraliku selgituse jaoks, kus anonipaketid võiksid olla mõnevõrra mõttekad, arvestades, et TLS-i kasutatakse laialdaselt ja seda ei kasutata ainult veebiteenuste jaoks.
"lõpp-punkt peab olema konfigureeritud, et see mäletaks, milliseid sertifikaate ta aktsepteerib, selle asemel, milliseid serdiasutusi ta aktsepteerib" - Anon-sviitidega see tegelikult ei toimi.Anon-sviitide kasutamisel sertifikaate ei vahetata, nii et te ei saa ühtegi sertifikaati aktsepteerida ega tagasi lükata.
Steffen Ullrich
2016-02-13 18:15:13 UTC
view on stackexchange narkive permalink

Millised on veebisaidi anonüümsete šifrikomplektide kasutamise juhtumid?

Puudub. See on lihtsalt tõsine viga ja seetõttu on hinne piiratud F-ga. Ükski brauseritest ei paku anonüümseid šifreerimiskomplekte (vähemalt vaikimisi), nii et ühendust brauseriga sel viisil ei looda. Kuid võib juhtuda, et mõned mobiilipanga rakendused teevad sama vea.



See küsimus ja vastus tõlgiti automaatselt inglise keelest.Algne sisu on saadaval stackexchange-is, mida täname cc by-sa 3.0-litsentsi eest, mille all seda levitatakse.
Loading...