Was bestimmt die relevante Version von OpenSSL in einer bestimmten Netzwerkverbindung?

1

Mein eigenes System ist meiner Meinung nach hinsichtlich der Apple-Sicherheitsupdates über den App Store auf dem neuesten Stand, aber die auf meinem System installierte Version von OpenSSL ist 0.9.8zg, eine Version, die im letzten Jahr aktuell war, aber alle verloren hat Sicherheitsunterstützung zum 31. Dezember 2015.

https://www.openssl.org/news/secadv/20160128.txt

Ich habe an anderer Stelle gelesen, dass, wenn man ein VPN verwendet und der VPN-Client mit einer anderen, späteren Version von OpenSSL (z. B. Version 1.0.1r) geliefert wird, die Version dieses VPN-Clients die aktuellere Version ablöst -date version vermittelt die Aushandlung mit einer Netzwerkverbindung in einem Browser.

Meine beiden verwandten Fragen sind:

(1) ist das genau? In diesem Fall würde ein VPN mit einer aktuellen Version von OpenSSL den Benutzer nominell besser schützen als eine veraltete Version, die auf dem Betriebssystem installiert ist.

(2) Wenn ein Benutzer kein VPN hat, verlässt sich der Benutzer dann nur für diese Sicherheitsstufe auf die anfällige Version von OpenSSL im Betriebssystem? Oder sind spätere Versionen von OpenSSL in bestimmten Anwendungen - dem Browser, Skype, iTunes usw. - irgendwie "gebündelt", genau wie dies bei einem VPN-Client der Fall ist?

munr0
quelle

Antworten:

1

Nachdem ich weitere Nachforschungen angestellt habe, sehe ich Folgendes, um meine Fragen zu beantworten:

  • OpenSSL ist nur eine von vielen SSL / TLS-Implementierungen
  • OS X ist nicht nur auf OpenSSL angewiesen (obwohl die veraltete Version von OpenSSL immer noch mit dem Betriebssystem installiert ist), sondern auf eine eigene Implementierung mit dem Namen "Secure Transport".
  • Je nach verwendeter Anwendung (Firefox, iTunes, Mail usw.) kann für den sicheren Handshake entweder OpenSSL (Firefox), Secure Transport (iTunes, Mail) oder eine andere SSL / TLS-Implementierung verwendet werden
  • Da das VPN unabhängig von der von der Anwendung implementierten Sicherheit nur eine einzige Sicherheitsebene hinzufügt, wirkt sich die TLS-Implementierung auf der VPN-Ebene in keiner Weise auf die auf der Anwendungsebene verwendete aus (eine nützliche Analogie ist die bereitgestellte geschichtete Röhrenanalogie) Hier:

    https://security.stackexchange.com/questions/27891/how-do-a-vpns-route-ssl-traffic-and-do-the-compromise-security
munr0
quelle