Che cos'è "Unified Unified Multi-Protocol" e quali sono gli impatti della disattivazione / abilitazione?

4

Questo articolo descrive come disabilita le vecchie versioni di TLS, ma oltre a farlo, anche "Unified Unified Multi-Protocol" è disabilitato.

# Disable Multi-Protocol Unified Hello
md 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Server' -Force
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Server' -name Enabled -value 0 -PropertyType 'DWord' -Force

Ho cercato quel termine e non ho visto nulla oltre alle altre modifiche del registro che lo disabilitano.

Che cos'è il multiprotocollo Hello e perché / quando qualcuno dovrebbe disabilitarlo / abilitarlo?

    
posta random65537 05.06.2014 - 19:41
fonte

1 risposta

2

Non certo, ma dato il contesto e la debolezza di MS per i nomi blandi, potrebbe essere compatibile con SSLv2 / after.

Quando SSLv3 è uscito (molto tempo fa) utilizzava un formato di messaggio diverso da SSLv2 e l'invio di un ClientHello v3 a un server v2 non funzionava affatto. Invece era pratica comune inviare un formato ClientHello v2 contenente i flag che indicavano che il client avrebbe preferito il protocollo v3 e le crittografie. Un server con funzionalità v3 potrebbe rispondere con Server3ello v3 e quindi procederebbe v3; un server v2-only ignorerebbe i flag v3, risponderebbe in v2 e v2 procederebbe. TLS 1, 1.1 e 1.2 (numerati internamente come SSL 3.1, 3.2, 3.3) mantenevano il formato del messaggio abbastanza vicino e continuavano a funzionare, principalmente, oltre a negoziare tra i protocolli v3 e successivi. OpenSSL chiamava questo "metodo SSLv23" e rimase il default fino a circa 2 anni fa quando passarono a v3-and-up-only; Java lo chiamava 'SSLv2Hello' ma non accettava la selezione di v2.

L'utilizzo di SSLv2 è stato una scelta sbagliata per molto tempo e RFC 6176 nel 2011 finalmente lo ha "proibito" ufficialmente, ma alcuni (molto?) software lo supportano ancora da una combinazione di let-sleeping-dogs-lie e just-in-case-you-never-know, e scommetto che include SCHANNEL, quindi prendere provvedimenti per disabilitare quei residui di v2 è probabilmente una buona cosa.

    
risposta data 08.06.2014 - 13:14
fonte

Leggi altre domande sui tag