Perché i clienti offrono l'handshaking con il protocollo SSL 2.0

11

Secondo il libro, le basi di Data Center, pagina 369, il supporto SSLv3 è stato aggiunto in Netscape 2.xe Internet Explorer 3.xe TLS è stato aggiunto in Netscape 4.xe Internet Explorer 4.x.

Sono un router di ascolto nella mia azienda (ho un file pcap da 200 MB con una connessione https) e questi vecchi client non esistono nei computer dell'azienda, ma osservo che alcune delle richieste del cliente sono in formato SSLv2. Quindi, solo il motivo per cui un client invia un client ciao nel formato SSLv2 sembra compatibile con i server che non supportano le nuove versioni di ssl. Questo problema di compatibilità è stato indicato nel link .

Non ho potuto capire quando il client invia "client hello" nella v2 per la compatibilità. Come il cliente decide che dovrebbe mandare il client v2 ciao o come decide che dovrebbe inviare v3.1 per esempio?

    
posta Kadir Erdem Demir 25.04.2013 - 10:08
fonte

1 risposta

12

Un client invia una percentuale di co2 di SSLv2% quando è pronto per utilizzare SSLv2, e suppone che il server possa essere un server solo SSLv2. In pratica, un determinato client invia sempre un SSLv2 ClientHello , o mai : il client non può sapere cosa supporta un server specifico finché non ha effettivamente parlato con esso, quindi è un'opzione di configurazione tutto-o-niente.

I browser moderni sono di "mai" persuasione; alcuni non supportano affatto SSLv2 (SSLv2 è ufficialmente deprecato ; il suo supporto è stato rimosso da OpenSSL , quindi presto il server Web che utilizza Apache + OpenSSL lo supporterà). Ma le versioni precedenti dei browser potevano usare SSLv2 e alcuni stavano inviando SSLv2 ClientHello di default (credo che IE 6.0 l'abbia fatto).

Si noti che un server può comprendere il formato diClientHello di SSLv2% e ancora non supporta SSLv2 (vale a dire che il server accetta ClientHello solo se afferma internamente che il client conosce anche SSL 3.0 o TLS).

Poiché il formato diClientHello di SSLv2% non è compatibile con estensioni come Indicazione del nome del server (non c'è spazio per le estensioni in quel formato), e dal momento che non ha senso per un client per inviare tale ClientHello a meno che non sia pronto a fare una connessione completa in SSLv2, possiamo supporre che la funzione co2 di SSLv2% scomparirà in futuro ... ma non siamo ancora arrivati.

    
risposta data 25.04.2013 - 13:10
fonte

Leggi altre domande sui tag