Quali sono i casi d'uso per suite di crittografia SSL anonime?

10

SSL supporta diverse suite di crittografie anonime come TLS_DH_anon_WITH_AES_256_GCM_SHA384. Quando vengono utilizzati, non viene eseguita alcuna autenticazione e non viene scambiato alcun certificato. Ciò significa che se vengono utilizzati, si è a rischio di attacchi MitM.

In precedenza, li avevo visti solo quando qualcuno ha abilitato per errore ogni singola suite di crittografia. Oggi ho notato che l'online banking nazionale ha una singola suite di crittografia anonima abilitata .

Questo mi porta a credere che sia stato aggiunto deliberatamente, piuttosto che accidentalmente.

Quali sono i casi d'uso per suite di crittografia anonime su un sito web?

    
posta Cybergibbons 13.02.2016 - 09:25
fonte

2 risposte

6

What are the use cases for anonymous cipher suites on a website?

Nessuno. Questo è solo un grave errore e quindi il voto è limitato a F. Nessuno dei browser offre suite di crittografia anonime (almeno per impostazione predefinita), pertanto in questo modo non verrà stabilita alcuna connessione con un browser. Ma potrebbe anche essere che alcune app di mobile banking facciano lo stesso errore.

    
risposta data 13.02.2016 - 13:15
fonte
8

Che TLS includa tale capacità non è senza una buona ragione.

Fornisce riservatezza senza la necessità di un'autorità di certificazione - un endpoint deve essere configurato per ricordare quali certificati accetterà, invece di quali autorità di certificazione accetterà. Questo è un modello di fiducia completamente diverso da quello generalmente utilizzato su Internet, e non dovrebbe essere usato su un sito web pubblico.

Non mi aspetto che questa cifra sia disponibile in qualsiasi browser.

    
risposta data 14.02.2016 - 01:25
fonte

Leggi altre domande sui tag