Имеет ли значение изменение значений по умолчанию на клиентском ПК при использовании SSL / TLS?

426
PeanutsMonkey

Если я использую Windows 7 и изменяю шифры по умолчанию на ПК, это влияет на соединение между клиентом и сервером? Если подобное изменение вносится только на сервере, влияет ли это на клиента? Что делать, если изменения сделаны как на клиенте, так и на сервере?

2

1 ответ на вопрос

1
Ram

Да. Клиент и сервер согласовывают выбор шифра, который будет использоваться в сеансе SSL / TLS. Таким образом, вы можете на своем сервере или клиенте отключить все шифры CBC и избавиться от воздействия BEAST. Скорее всего, лучший выбор для шифров - это RC4 и 3DES, хотя 3DES будет в режиме CBC, так что пока MS не исправит их реализацию в соответствии с обсуждениями, проведенными несколько лет назад. Возможно, вам также следует проверить корневой список на своем клиенте, чтобы убедиться, что вы по умолчанию не доверяете всем правительствам и компаниям в мире, чтобы управлять своими решениями о доверии за вас.

Мне неясно, что вы говорите «Чтобы вы могли на своем сервере или клиенте отключить все шифры CBC и избавиться от воздействия BEAST». Означает ли это, что на сервере не вносятся никакие изменения, например, сервер по-прежнему поддерживает SSL 2, и я удаляю все доступные шифры на клиенте, а я все еще привязываюсь к BEAST? PeanutsMonkey 13 лет назад 0
Что можно считать списком доверенных корневых сертификатов по умолчанию? PeanutsMonkey 13 лет назад 0
Это совпадение между тем, что клиент и сервер сконфигурированы и могут использовать, и это выбрано из - если я правильно помню, предпочтение при заказе отдается серверу. Подразумевается, что если у вас [правильно] есть SSL2, а также некоторые более слабые шифры, отключенные в вашем клиенте, то вы не будете устанавливать сеанс с сервером, использующим их. Поскольку BEAST работает только с шифрами CBC, вы можете просто удалить их из согласования, отключив их на клиенте или сервере. Ram 13 лет назад 0
Кому ты должен доверять? Несколько советов о том, как считать это все, что я могу предложить. Вы хотите корни, которые заслуживают доверия, возможно, потому что они полагаются на свой бренд и имеют историю нескольких неудач с сильным восстановлением. Вам нужны корни, которые подкреплены сильными техническими достоинствами, такими как высокочастотные OCSP и CRL для каждого сертификата в цепочке, и регулярным повторным набором промежуточных сертификатов. Ram 13 лет назад 1
Извините, я не совсем понимаю, что вы подразумеваете под наложением между клиентом. Например, если на клиенте ничего не сделано, а изменения сделаны только на сервере, что происходит? Что произойдет, если изменение будет сделано только для клиента, а не для сервера? В своем примере вы упомянули, что если SSLv2 отключен на клиенте, он не установит сеанс, если сервер использует их, однако это означает, что клиент вынужден обновиться до SSL 3 или TLS 1.0, если это поддерживается сервер? PeanutsMonkey 13 лет назад 0
Кто бы вы сказали, подкрепленные сильной технической заслугой? PeanutsMonkey 13 лет назад 0
Если вы отключите SSLv2 на клиенте или сервере, он не будет его использовать. Если вы отключите определенный шифр (скажем, 3DES-CBC) на клиенте или сервере, он не будет его использовать. Это как когда моя жена говорит "давай пойдем ужинать - я в порядке с тайским или мексиканским" и я говорю "я в порядке с мексиканским или итальянским" ... мы не получаем итальянский, так как мы не оба согласитесь, что это вариант. Ram 13 лет назад 0
Я не проводил исследований в течение многих лет, чтобы увидеть, кто имеет сильные технические достоинства. Я покопаюсь чуть позже и посмотрю, смогу ли я найти матрицу сравнения - могу поспорить, что хотя бы один из них найдет: EFF, Mozilla Foundation, Брюс Шнайер. Ram 13 лет назад 0
Интересно, что отключение его на клиенте, а не на сервере ограничивает выбор шифров. Почему Microsoft не отказывается от поддержки SSLv2 в Windows XP, Vista, 7 и т. Д.? PeanutsMonkey 13 лет назад 0
Я думаю, что Microsoft не очень заботится о вашей безопасности, и никто еще не обсуждал это со своими адвокатами. Возможно, более добрый ответ - Microsoft не хочет ограничивать людей, которым вы доверяете, по умолчанию. Ram 13 лет назад 1

Похожие вопросы