Cosa determina la versione pertinente di OpenSSL in una determinata connessione di rete?

1

Il mio sistema è completamente "aggiornato" per quanto riguarda gli aggiornamenti di sicurezza di Apple attraverso l'App Store, ma la versione di OpenSSL installata sul mio sistema è 0.9.8zg, una versione che era corrente nell'ultimo anno, ma ha perso tutto il supporto di sicurezza a partire dal 31 dicembre 2015.

link

Ho letto altrove che, quando si utilizza una VPN, e quel client VPN viene fornito in bundle con una versione successiva diversa di OpenSSL (ad esempio, versione 1.0.1r), la versione del client VPN verrà sostituita, ovvero più la versione aggiornata medierà la negoziazione con una connessione di rete in un browser.

Le mie due domande correlate sono:

(1) è accurato? In tal caso, sembrerebbe che l'esecuzione di una VPN con una versione corrente di OpenSSL possa nominalmente "proteggere" l'utente meglio di una versione deprecata installata sul sistema operativo, corretto?

(2) Se un utente non ha VPN, l'utente si affida alla sola versione vulnerabile di OpenSSL solo nel sistema operativo per quel livello di sicurezza? Oppure le versioni successive di OpenSSL sono in qualche modo "raggruppate" all'interno di applicazioni specifiche - il browser, Skype, iTunes, ecc. - così come sono "raggruppate" con un client VPN?

    
posta munr0 29.01.2016 - 05:43
fonte

1 risposta

1

Dopo aver svolto ulteriori ricerche, vedo le seguenti domande per rispondere alle mie domande:

  • OpenSSL è solo una delle molte implementazioni SSL / TLS
  • OS X non si basa esclusivamente su OpenSSL (sebbene la versione deprecata degli stessi sia ancora installata con il sistema operativo), ma piuttosto sulla sua implementazione chiamata "Trasporto sicuro"
  • A seconda dell'applicazione in uso (Firefox, iTunes, Mail, ecc.), OpenSSL (firefox), Secure Transport (iTunes, Mail), o ancora qualche altra implementazione SSL / TLS possono essere utilizzati per l'handshake sicuro
  • Poiché la VPN aggiunge un solo "livello" di sicurezza, indipendentemente dalla sicurezza implementata dall'applicazione, l'implementazione TLS al livello VPN non influisce in alcun modo su quello utilizzato a livello di applicazione (un'analogia utile è quella dei tubi a strati 'analogia fornita qui:

    link
risposta data 29.01.2016 - 20:56
fonte

Leggi altre domande sui tag