Neden bazı “TLS Kullan” ve “SSL Kullan” seçenekleri kapalı?

11

Gerçekten kafam karıştı - TLS / SSL seçeneklerinden bazıları neden varsayılan olarak kapalı ?

resim açıklamasını buraya girin

Onları açmanın herhangi bir zararı var mı?

windows  internet-explorer 
user541686
kaynak

Yanıtlar:

9

Aslında, son raporlar TLS 1.0'ı kullanırken güvenlik açığı gösterdiğinden TLS 1.1 / 1.2'yi kullanmak daha güvenlidir. Kaynak: http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/

Yukarıdaki rapora göre, TLS 1.0'ın nedeni hala kullanılmaktadır, çünkü:

Atalet için başlıca suçlular, Mozilla'nın Firefox ve Google'ın Chrome tarayıcılarında SSL'yi uygulamak için kullanılan Ağ Güvenlik Hizmetleri paketi ve milyonlarca web sitesinin TLS'yi dağıtmak için kullandığı açık kaynaklı bir kod kütüphanesi olan OpenSSL'dir. Tavuk ve yumurta çıkmazında, her iki araç seti de, muhtemelen diğeri olmadığı için TLS'nin son sürümlerini sunmaz.

Qualys'in mühendislik direktörü Ivan Ristic, “Sorun, siz onlara iyi bir neden vermedikçe ve iyi bir nedenden ötürü bir istismar demek istemediğim sürece işleri iyileştirmeyecekler” dedi. “Korkunç, değil mi?”

Hem Mozilla hem de OpenSSL'yi koruyan gönüllüler henüz TLS 1.2 uygulamadı, ancak Microsoft sadece biraz daha iyi performans gösterdi. Güvenli TLS sürümleri Internet Explorer tarayıcısında ve IIS web sunucusunda bulunur, ancak varsayılan olarak yoktur. Opera ayrıca 1.2 sürümünü de kullanılabilir, ancak tarayıcısında varsayılan olarak kullanmaz.

.

Microsoft'un bir SSL güvenlik açığı için Güvenlik Danışmanlığı vardır ve TLS v1.1'i etkinleştirmenizi önerir, bu sayfada düzgün bir şekilde etkinleştirilmesine yardımcı olacak bir düzeltme var.

. http://support.microsoft.com/kb/2588513

.

Ar Sh
kaynak
2
Ben var gerçekten o makaleyi okuyun ama ne anlamıyorum: Neden olmasın kontrol şeyi ? Her ikisi de mevcut olduğunda TLS 1.0'dan TLS 1.2'yi tercih edecek gibi değil, değil mi?
user541686
@Mehrdad: En yeni, en güvenli versiyonu tercih edecek - 1.2 ise 1.0'dan daha yeni.
user1686
6

SSL 2.0 güvenli değil. SSL 3.0 ve TLS 1.0 en yaygın olanlardır. Ancak Ar Sh'ın belirttiği gibi, TLS 1.0'da güvenlik açığı raporları vardır.

Çoğu web sunucusu SSL 3.0 ve TLS 1.0'ı uyguladığından, çoğu web tarayıcısı bunları kullanmaya devam eder ve varsayılanlardır.

Bence TLS 1.1 ve 1.2'yi etkinleştirebilirsiniz, ancak güvenli olmadığı için SSL 2.0'ı etkinleştirmekten kaçının.

Ganesh R.
kaynak
SSL 2.0 açık olması SSL 3.0 kullanımını etkiler mi? Öyleyse neden? (Değilse, o zaman neden kapalı olmalı? Herhangi bir şifreleme eksikliğinden daha kötü olamaz ...)
user541686
2
SLL 2.0, SSL 3.0'dan daha zayıftır. El sıkışma sırasında, seçeneği etkinleştirirseniz web sunucusu tarayıcıdan daha zayıf şifrelemeyi kullanmasını isteyebilir. Şimdi bir bankacılık uygulaması kullandığınızı düşünün, zayıf şifreleme ile giriş yapmayı mı yoksa hiç giriş yapmamayı mı tercih edersiniz?
Ganesh R.
Bu zor bir soru! Emin değilim ... +1
user541686
Güvensizliği nedeniyle, SSL 2.0 bugün neredeyse tüm web sunucularında devre dışı bırakılmıştır. Tarayıcınızda etkinleştirmenin bir anlamı yok.
user1686
1

tls> 1.0 birlikte çalışma sorunları, evlat edinme eksikliğinden dolayı hiçbir zaman tam olarak çözülmedi, bu nedenle güvenli olmak için birçok satıcı, müzakere edilebildiğinde varsayılan olarak etkinleştirmez.

covener
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.