Warum sind einige Optionen "TLS verwenden" und "SSL verwenden" deaktiviert?

11

Ich bin wirklich verwirrt - , warum einige der TLS / SSL - Optionen eingeschaltet sind aus standardmäßig?

Geben Sie hier die Bildbeschreibung ein

Kann es schaden, sie einzuschalten oder so?

user541686
quelle

Antworten:

9

Tatsächlich ist es sicherer, TLS 1.1 / 1.2 zu verwenden, da jüngste Berichte eine Sicherheitslücke bei der Verwendung von TLS 1.0 gezeigt haben. Quelle: http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/

Gemäß dem obigen Bericht wird der Grund, warum TLS 1.0 weiterhin verwendet wird, weil:

Hauptverursacher der Trägheit sind das Network Security Services-Paket, mit dem SSL in den Firefox- und Chrome-Browsern von Mozilla implementiert wird, sowie OpenSSL, eine Open-Source-Codebibliothek, mit der Millionen von Websites TLS bereitstellen. In einer Art Henne-Ei-Sackgasse bietet keines der beiden Toolkits neuere Versionen von TLS an, vermutlich weil das andere dies nicht tut.

"Das Problem ist, dass die Leute die Dinge nur verbessern, wenn Sie ihnen einen guten Grund nennen, und mit einem guten Grund meine ich einen Exploit", sagte Ivan Ristic, Director of Engineering bei Qualys. "Es ist schrecklich, nicht wahr?"

Während sowohl Mozilla als auch die Freiwilligen, die OpenSSL warten, TLS 1.2 noch nicht implementiert haben, hat Microsoft nur geringfügig bessere Ergebnisse erzielt. Sichere TLS-Versionen sind im Internet Explorer-Browser und im IIS-Webserver verfügbar, jedoch nicht standardmäßig. Opera stellt auch Version 1.2 zur Verfügung, ist jedoch nicht die Standardeinstellung in seinem Browser.

.

Microsoft hat einen Sicherheitshinweis für eine SSL-Sicherheitsanfälligkeit herausgegeben und empfiehlt, TLS v1.1 zu aktivieren. Auf dieser Seite befindet sich ein Fixit, das Sie bei der ordnungsgemäßen Aktivierung unterstützt.

. http://support.microsoft.com/kb/2588513

.

Ar Sh
quelle
2
Ich habe diesen Artikel zwar gelesen, aber ich verstehe nicht: Warum nicht alles überprüfen ? Es ist nicht so, dass TLS 1.2 gegenüber TLS 1.0 bevorzugt wird, wenn beide verfügbar sind, oder?
user541686
@Mehrdad: Es wird die neueste, sicherste Version bevorzugen - und 1.2 ist neuer als 1.0.
user1686
6

SSL 2.0 ist unsicher. Am häufigsten sind SSL 3.0 und TLS 1.0. Wie Ar Sh bereits erwähnt hat, gibt es Berichte über Sicherheitslücken in TLS 1.0.

Da die meisten Webserver SSL 3.0 und TLS 1.0 implementieren, verwenden die meisten Webbrowser diese weiterhin und sind die Standardeinstellungen.

Meiner Meinung nach können Sie TLS 1.1 und 1.2 aktivieren, aber vermeiden Sie die Aktivierung von SSL 2.0, da es unsicher ist.

Ganesh R.
quelle
Beeinflusst die Aktivierung von SSL 2.0 die Verwendung von SSL 3.0? Wenn ja warum? (Wenn nicht, warum sollte es dann ausgeschaltet sein? Es kann nicht schlimmer sein als das Fehlen jeglicher Verschlüsselung ...)
user541686
2
SLL 2.0 ist schwächer als SSL 3.0. Während des Handshakes kann der Webserver den Browser auffordern, die schwächere Verschlüsselung zu verwenden, wenn Sie die Option aktivieren. Stellen Sie sich nun vor, Sie verwenden eine Bankanwendung. Möchten Sie sich lieber mit schwacher Verschlüsselung anmelden oder gar nicht?
Ganesh R.
Das ist eine schwierige Frage! Ich bin nicht sicher ... +1
user541686
Aufgrund seiner Unsicherheit ist SSL 2.0 heute in fast allen Webservern deaktiviert. Es macht keinen Sinn, es in Ihrem Browser zu aktivieren.
user1686
1

tls> 1.0 Interop-Probleme wurden aufgrund mangelnder Akzeptanz nie vollständig gelöst. Aus Sicherheitsgründen aktivieren viele Anbieter sie nicht einmal standardmäßig, wenn sie nur ausgehandelt werden könnten.

Covener
quelle