Esiste un equivalente HSTS per specificare la versione TLS?

6

HSTS mi consente di forzare i client a connettersi al mio sito web usando HTTPS, ma non specifica la versione di SSL, TLS o quali cifrature sto proibendo.

C'è qualche alternativa o estensione HSTS che mi permetta di specificare

  • Versione minima TLS (1.2)
  • TLS Ciphers (quelli elencati in TLS 1.3)
posta random65537 12.09.2015 - 01:47
fonte

2 risposte

7

In TLS, il client propone e il server sceglie.

Che cosa vuoi è semplice come configurare i tuoi server per consentire solo TLS 1.2 e le particolari suite di server che desideri utilizzare. Non c'è bisogno di nulla di speciale.

    
risposta data 12.09.2015 - 04:05
fonte
1

No - non esiste un tale meccanismo ed è improbabile che venga sviluppato.

Primo riassunto: HSTS consente a un server di forzare i client a utilizzare HTTPS per un determinato dominio. Senza HSTS, posso abilitare SSL su mydomain.com, ma c'è il rischio che un sito di un utente malintenzionato possa dirottare un client (ad esempio per avvelenamento DNS) e offrire contenuto HTTP non autorizzato per mydomain.com. Una buona conoscenza dell'utente è sempre stata in grado di prevenirlo (controlla il lucchetto), ma il punto di HSTS è che offre protezione anche agli utenti alle prime armi.

Quando si tratta di versioni TLS, come dice Terry Chia, puoi decidere quali versioni vuoi che il tuo server supporti. È possibile che un server canaglia provi a impersonare il tuo server e utilizzi versioni TLS che non hai abilitato. Ma dovrebbero avere un certificato per il tuo dominio o qualche tipo di vulnerabilità in una vecchia versione di TLS che stanno sfruttando. Considerando che le vulnerabilità del protocollo TLS pubblicate sono problemi impercettibili che non consentono la rappresentazione senza un certificato, nessuno è interessato a sviluppare un tale sistema.

    
risposta data 13.09.2015 - 17:30
fonte

Leggi altre domande sui tag