Ho disabilitato SSL2 e SSL3 nel mio browser Firefox, versione 24. Ho attivato solo TLS 1.1 e 1.2. Sfortunatamente quando sono andato sul sito web della mia banca, ho scoperto che non funzionava finché non riattivo TLS 1.0.
Informazioni aggiuntive: il mio sito bancario utilizza la crittografia RSA.
Significa che il sito Web della mia banca è meno sicuro di quanto dovrebbe essere o è accettabile?
Ciò significa che il server della tua banca supporta TLS-1.0, non 1.1 o 1.2. Le versioni 1.1 e 1.2 aggiungono alcune funzionalità extra, ma ciò non significa che TLS-1.0 sia debole. In effetti, l'unica funzionalità di sicurezza rilevante aggiunta da TLS-1.1 su 1.0 è l'IV casuale per record. Questa funzione protegge intrinsecamente da alcuni attacchi con testo in chiaro scelti, vale a dire il cosiddetto " attacco BEAST ". Tuttavia, questo attacco può anche essere sconfitto con SSL-3.0 e TLS-1.0 se il client implementa una soluzione nota come 1 / n-1 split e Firefox lo implementa. Inoltre, BEAST può essere sfruttato solo sfruttando una buca Same-Origin-Policy , e attualmente non esiste un buco del genere nei browser correnti (i due utilizzati nelle dimostrazioni BEAST sono stati risolti da quel momento).
Per questi due motivi, non dovresti preoccuparti di TLS-1.0. In termini molto generali, è preferibile che le persone distribuiscano nuove versioni di protocollo, in modo che le nuove funzioni si diffondano in tutto il mondo; ma non c'è urgenza .
Quando il tuo conto bancario viene saccheggiato, non sarà attraverso un buco del protocollo TLS. Il malware installato sulla tua macchina è una minaccia molto più grande, anzi.
Leggi altre domande sui tag financial web-application tls rsa