Tôi thực sự bối rối - tại sao một số tùy chọn TLS / SSL bị tắt theo mặc định?
Có bất kỳ tác hại trong việc bật chúng hoặc một cái gì đó?
Tôi thực sự bối rối - tại sao một số tùy chọn TLS / SSL bị tắt theo mặc định?
Có bất kỳ tác hại trong việc bật chúng hoặc một cái gì đó?
Câu trả lời:
Trên thực tế, an toàn hơn khi sử dụng TLS 1.1 / 1.2, vì các báo cáo gần đây đã cho thấy lỗ hổng trong khi sử dụng TLS 1.0. Nguồn: http://www.theregister.co.uk/2011/09/19/beast_Exloits_paypal_ssl/
Theo báo cáo trên, lý do TLS 1.0 vẫn được sử dụng vì:
Thủ phạm chính của quán tính là gói Dịch vụ bảo mật mạng được sử dụng để triển khai SSL trong trình duyệt Firefox của Firefox và Chrome của Chrome và OpenSSL, một thư viện mã nguồn mở mà hàng triệu trang web sử dụng để triển khai TLS. Trong tình trạng bế tắc từ trứng và trứng, không bộ công cụ nào cung cấp các phiên bản gần đây của TLS, có lẽ là do phiên bản kia không có.
Vấn đề là mọi người sẽ không cải thiện mọi thứ trừ khi bạn cho họ một lý do chính đáng và bởi một lý do chính đáng, ý tôi là một sự khai thác, ông Ivan Ristic, giám đốc kỹ thuật của Qualys nói. Thật là khủng khiếp phải không?
Trong khi cả Mozilla và các tình nguyện viên duy trì OpenSSL vẫn chưa thực hiện TLS 1.2, Microsoft chỉ hoạt động tốt hơn một chút. Các phiên bản TLS bảo mật có sẵn trong trình duyệt Internet Explorer và máy chủ web IIS, nhưng không phải theo mặc định. Opera cũng cung cấp phiên bản 1.2 nhưng không được mặc định trong trình duyệt của nó.
.
Microsoft có Tư vấn bảo mật cho lỗ hổng SSL và khuyên bạn nên bật TLS v1.1, có một bản sửa lỗi trên trang này để hỗ trợ kích hoạt nó đúng cách.
. http://support.microsoft.com/kb/2588513
.
SSL 2.0 không an toàn. SSL 3.0 và TLS 1.0 là phổ biến nhất. Nhưng như Ar Sh đã đề cập, có những báo cáo về lỗ hổng trong TLS 1.0.
Vì hầu hết các máy chủ web triển khai SSL 3.0 và TLS 1.0, hầu hết các trình duyệt web vẫn sử dụng chúng và là mặc định.
Theo ý kiến của tôi, bạn có thể kích hoạt TLS 1.1 và 1.2 nhưng tránh bật SSL 2.0 vì nó không an toàn.