Svantaggi di disabilitare RC4 in SSL / TLS [chiuso]

Naviga le tue risposte
5

Oltre a richiedere più risorse del server, ci sono degli svantaggi nel disabilitare l'uso di RC4 da parte di un server web Apache? La mia preoccupazione principale è impedire l'accesso da browser meno recenti.

    
posta user1032531 18.05.2015 - 14:49
fonte

3 risposte

6

Disattivare RC4 completamente sarebbe fantastico in un mondo ideale, ma sfortunatamente non viviamo in un mondo ideale. Se lo disabiliti, alcuni dispositivi mobili e integrati potrebbero non essere in grado di comunicare con te. Tieni presente che Internet Explorer in Windows XP può utilizzare RC4 solo perché l'API crittografica sottostante (CAPI) sul sistema non dispone di AES.

Per quanto riguarda il rischio, gli attacchi di polarizzazione RC4 sono generalmente considerati non fattibili a causa dei requisiti - dell'ordine dell'ordine di qualche miliardo di richieste. Anche se chiaramente non è buono, è anche molto difficile fare qualcosa di pratico con.

Al momento, a maggio 2015, raccomanderei quanto segue:

  • Abilita TLS 1.2 con le suite di crittografia AES-GCM, ChaCha20-Poly1305, AES-CBC e RC4.
  • Abilita TLS 1.1 con le suite di crittografia AES-CBC e RC4.
  • Abilita TLS 1.0 con suite di crittografia RC4 (evita i codici a blocchi CBC in TLS 1.0 a causa di BEAST)
  • Disattiva SSLv3 e versioni precedenti.
  • Configura le tue preferenze di ordine della suite di crittografia per avere le suite AES-GCM e ChaCha20-Poly1305 in alto.
  • Preferisci suite di crittografia con scambio di chiavi DHE / ECDHE su scambio di chiavi RSA / DSA per promuovere lo scambio di chiavi effimero.

Tieni presente che questo è soggetto a modifiche: dovresti verificare la presenza di informazioni aggiornate in futuro.

In una configurazione del genere, tutti i browser meno recenti (vale a dire tutti i post-90) dovrebbero funzionare perfettamente e i browser moderni useranno il protocollo e le crittografie più potenti possibili.

    
risposta data 18.05.2015 - 15:42
fonte
3

Penso che tu stia facendo la domanda sbagliata. Per me, "Quanto saranno i miei utenti disturbati?", È molto meno importante di "Quanto sono sensibili le informazioni su questo server?" O "Quanto mi interessa se sia stato violato?".

Indurire un sistema porta solitamente a qualche inconveniente. Il livello di disagio che sei disposto a sopportare (e infliggere ai tuoi utenti) dovrebbe dipendere dal valore dei dati che stai cercando di proteggere. In altre parole, più un bersaglio è più prezioso, più è probabile che un hacker spenda le risorse per interrompere il tuo RC4.

    
risposta data 18.05.2015 - 15:38
fonte
1

RC4 ha dimostrato di essere danneggiato, quindi è probabilmente una cosa sensata disabilitarlo da un server web.

Non dovresti preoccuparti di tenerlo acceso solo per fornire l'accesso a browser Web obsoleti - dopo tutto, sono chiamati obsoleti per una ragione, e dare agli incentivi del visitatore l'opportunità di aggiornare il suo vecchio browser è buono.

    
risposta data 18.05.2015 - 15:28
fonte

Leggi altre domande sui tag

C'è un modo per bloccare tutti gli incidenti di traffico TOR sui miei server pubblici? Come trovo tutti i domini ospitati su un singolo host?