I browser possono connettere HTTPS con il codice NONE?

4

I hanno trovato una menzione della cifratura NONE che è possibile / disponibile per HTTPS.

È supportato da qualsiasi browser per accedere a qualsiasi sito Web tramite lo schema dell'indirizzo https:// ?

(Quale sarebbe uno snippet per creare un test / un server https con il NONE cipher?)

    
posta cnst 31.01.2016 - 23:22
fonte

3 risposte

4

Is it supported by any browsers for accessing any web-sites over the https:// address scheme?

Penso che ti stia riferendo a TLS_NULL_WITH_NULL_NULL o cifrari simili se non è stata eseguita la crittografia. Nessuno dei browser attuali offre questo codice e non penso che in futuro ci sarà un motivo per offrire cifrari più che deboli perché si otterrebbe il sovraccarico di TLS senza ottenere alcuna sicurezza.

Come per TLS_NULL_WITH_NULL_NULL in particolare la RFC 5246 (TLS 1.2) afferma che è solo l'iniziale stato e non dovrebbe mai essere negoziato. Esistono altri codici con crittografia NULL come TLS_RSA_WITH_NULL_SHA che offrono ancora l'autenticazione ma, poiché non crittografano, è improbabile che vengano visualizzati dai browser.

Per i dettagli sugli algoritmi offerti dai vari client SSL vedi link .

    
risposta data 31.01.2016 - 23:31
fonte
1

Questo è un sottoinsieme della negoziazione della suite di crittografia TLS (o SSL, per configurazioni davvero non aggiornate). Vado più nel dettaglio in La mia risposta a ssl_ciphers raccomandati per sicurezza, compatibilità - Segreto perfetto in avanti , ma il lungo e in breve:

Per il documento TLS 1.2 RFC 5246 a partire dalla sezione 7.4.1.2 per vedere, nel breve breve modulo , la negoziazione della suite di crittografia:

  • ClientHello: il client comunica al server quali suite di crittografia supportate dal client
  • Ora il server ne sceglie uno
    • Discuterò su come controllare quale sceglierà dopo
  • ServerHello: il server comunica al client quale suite di crittografia ha scelto, o dà al client un messaggio di errore.

Quindi, ENTRAMBI il client AND il server dovrebbe consentire che anche la stessa suite di codici NULL sia possibile, e anche se entrambi lo consentono, dovrebbe essere quello che il server sceglie. Questo sarebbe un ambiente orribilmente cattivo; anche i peggiori errori normali a ssllabs.com (elenco di estrema destra, in particolare quelli di F) non vanno male, anche se sono vulnerabili a quasi tutto il resto sotto il sole.

Per il test, crea il tuo server e metti la suite di crittografia NULL che preferisci come unica opzione. Quindi utilizza openssl in modalità client o un browser che supporta la suite di crittografia NULL per testarlo.

    
risposta data 31.01.2016 - 23:51
fonte
1

NESSUNA cifra può essere disponibile in Opera 12. È disabilitata per impostazione predefinita. Sembra esserci TLS_RSA_NULL_SHA e SHA2, ho solo provato sha. Per il server di test, ho usato openssl s_server, richiede anche alcune configurazioni speciali (cifratura NULL non abilitata di default). Anche, quando la connessione è avvenuta con successo, c'erano alcuni avvisi di sicurezza, nel browser. openssl usato era 1.0.1, che è vecchio. La linea di comando era: openssl s_server -www -cert [cert] -key [chiave] -cipher NULL-SHA

    
risposta data 01.02.2016 - 09:59
fonte

Leggi altre domande sui tag