È già il momento giusto per dire addio al supporto TLS1.1 sui server web? [chiuso]

Naviga le tue risposte
7

Leggere diversi articoli, citando questo , per il gusto di questa domanda sul vecchio argomento TLS.

Citare parte dell'articolo:

30 June 2018 is the deadline for disabling SSL/early TLS and implementing a more secure encryption protocol – TLS 1.1 or higher (TLS v1.2 is strongly encouraged) in order to meet the PCI Data Security Standard (PCI DSS) for safeguarding payment data.

Sto pensando, se è già il momento giusto per disabilitare il supporto TLS1.1 sui server web?

Essere specifici su server con dati altamente sensibili, per esempio.

Tenendo conto che la maggior parte delle persone non ne risentirà, poiché tutti i browser (senza contare i sistemi come Vista o XP, né le vecchie versioni Android / Apple) hanno già un supporto per TLS1.2 da molto tempo.

Quindi, dico, sono pronto a disabilitare TLS1.1 su tutti i miei server.

La maggior parte di voi probabilmente sosterrà, che una cosa del genere è troppo aggressiva, ma perché aspettare?

    
posta Vlastimil 26.11.2017 - 12:56
fonte

2 risposte

16

L'unica ragione per ritardare nel dire addio è a causa dei potenziali impatti. In effetti, l'unica ragione per utilizzare una particolare tecnologia è che fa qualcosa per te e il costo / i benefici sono all'interno delle tue tolleranze.

Se hai quantificato l'impatto del taglio di una tecnologia precedente e stai bene con esso, allora non c'è argomento ... Non sono sicuro di quale argomento basato sulla sicurezza speravi provare.

Per quanto riguarda l'argomento di sicurezza per 1.2, non sono sicuro che ce ne sia anche uno. Guardando la RFC , c'è un sacco di 'pulizia' e modalità aggiunte, ma nessuna difesa di attacco.

Quindi, è ora? Probabilmente no. Certamente non esiste una ragione generalmente convincente per.

    
risposta data 26.11.2017 - 14:05
fonte
19

Mettiamo la domanda in un altro modo: Che guadagni disattivando TLS 1.1?

Sicurezza

Sembra che tu e la tua offerta implichiate di voler passare a TLS 1.2 perché è più sicuro di TLS 1.1. Non è proprio il caso.

TLS 1.2 ha aggiunto una nuova crittografia, ad esempio ora puoi utilizzare AES anziché 3DES o ECDHE anziché DHE. Al momento, non ci sono attacchi noti contro quei codici, quindi non puoi dire direttamente che è per sicurezza. 1.2 sostituisce anche MD5 e SHA1. Questo è un miglioramento della sicurezza, ma per qualcosa di breve durata come una connessione TLS, è improbabile che sia una grande debolezza.

Quindi, mentre TLS 1.2 offre algoritmi di crittografia più recenti, quelli vecchi sono ancora considerati accettabili, quindi è difficile fare un argomento di sicurezza diretto.

Prestazioni

A causa dei codici più recenti, si otterrà un po 'meno carico del server quando si utilizza TLS 1.2. TLS 1.3 offrirà prestazioni migliorate anche a livello di protocollo. Questi da soli possono essere motivi per cambiare, ma in realtà non ha nulla a che fare con la sicurezza.

    
risposta data 26.11.2017 - 14:26
fonte

Leggi altre domande sui tag

Quanto lontano possiamo fare per evitare che i video si diffondano usando reti P2P come BitTorrent? Quali sono i fattori che determinano l'idoneità di una domanda di sicurezza?