Google Chrome dice "La tua connessione a example.com è crittografata usando una suite di crittografia obsoleta."

13

Ottengo le seguenti informazioni quando faccio clic sull'icona del lucchetto sulla barra degli indirizzi:

Hounpaiodidomande:

Q1.Qualisonoiproblemidisicurezzaqui?

Q2.Anchedopoilmessaggio"seme crittografato obsoleto", Chrome è in grado di stabilire una connessione privata e vedo un blocco VERDE, come funziona?

Vedo un'altra domanda qui su Sec .SE che parla di "Obsolete Cryptography", ma ho serie di problemi diversi.

Nota: example.com non è un vero host.

    
posta dev gr 30.03.2016 - 09:23
fonte

2 risposte

13

Bene, eccoci:

Domanda 1

  • TLS 1.0 non è proprio perfetto. Consulta le risposte a questa domanda per i dettagli.
  • 3DES è alquanto strano al giorno d'oggi, ma va bene , comunque privato di AES.
  • l'utilizzo di RSA come meccanismo di scambio di chiavi non fornisce la inoltro segreto .
  • l'uso di SHA1 è okayish in questo momento, ma è probabile che si renda in qualsiasi momento, quindi la famiglia SHA2 è già disponibile da un po 'di tempo.

Domanda 2

Bene, gli sviluppatori di Chrome hanno scelto di accettarlo e mostrare un blocco verde invece di uno giallo (connessione stabilita con avvisi) per il momento, altrimenti un sacco di siti (banche per esempio) non mostrerebbero il blocco verde .

Sebbene l'uso di quella combinazione esatta non sia ideale, è ancora in grado di stabilire una connessione, verificare che la macchina remota e i dati scambiati siano ragionevolmente sicuri (per ora, almeno, vedi il link di segretezza in avanti sopra).

Riguardo a come è stato stabilito: c'è una stretta di mano che si svolge tra il browser e il server, concordando una specifica suite di crittografia. Il tuo browser e quel server sono d'accordo su questo (perché potrebbero non supportare nulla di più recente), anche se non è l'opzione migliore. Vedi Come funziona TLS per una buona copertura su questo.

    
risposta data 30.03.2016 - 10:44
fonte
3

Non sono un esperto di crittografia, ma se la mia comprensione è corretta, le conseguenze di ciò che stai vedendo sono in breve, come segue:

La tua connessione è infatti crittografata e, in quanto tale, dovrebbe essere più sicura della crittografia no . Qualcuno che annusa la tua rete o osserva il tuo traffico, in teoria dovrebbe vedere solo i dati crittografati.

Detto questo, l'implementazione della crittografia utilizzata per questa particolare connessione è obsoleta e potrebbe presentare dei punti deboli. Perché sta succedendo? Non ne sono sicuro. Forse perché il server a cui ti stai collegando o il tuo browser supporta solo TLS 1.0. Questo è un po 'interessante di per sé, se il nome del dominio è corretto (esempio.com). Quando vado direttamente al link , posso vederlo usando TLS 1.2 nel mio browser.

In teoria potrebbe essere il risultato di un qualche tipo di attacco, che costringe il tuo browser a utilizzare uno standard di crittografia più vecchio, in modo da essere in grado di sfruttare le vulnerabilità che sono state corrette in nuovi standard, ma sarei molto attento a saltare alle conclusioni (assumendo che tu sia più o meno un utente medio, e non un obiettivo particolarmente interessante per nessuna ragione).

In ogni caso, tornare a TLS 1.0 potrebbe in teoria aprirti a vari attacchi. Quindi, come puoi metterti al sicuro da questo? Il modo più semplice è probabilmente quello di disattiva le versioni precedenti di TLS nel tuo browser .

    
risposta data 30.03.2016 - 10:59
fonte

Leggi altre domande sui tag