Implicazioni sulla sicurezza di un SCSV mancante, ma con solo TLS 1.2 consentito

3

Simile a questo security stackexchange question , mi chiedevo se c'è qualche svantaggio, considerando la sicurezza dei servizi / server, se only TLS 1.2 è permesso, ma TLS Fallback Signaling Cipher Suite Value (SCSV) per la prevenzione degli attacchi di downgrade del protocollo è non abilitato.

In teoria, non vedo alcun effetto del SCSV mancante, poiché è comunque disponibile solo TLS 1.2, ma non ne sono sicuro al 100%.

Che effetto ha l'assenza di SCSV, se solo TLS 1.2 è consentito in primo luogo?

    
posta Breakfast Serial 09.06.2017 - 14:22
fonte

1 risposta

1

Poiché SCSV è semplicemente un metodo per impedire il downgrade e il tuo server non supporta altri protocolli per il downgrade, non vedo alcuno svantaggio di quello.

Correggimi se sbaglio, ma SCSV non sarebbe per niente con TLS 1.2 permesso solo in ogni caso.

    
risposta data 28.06.2017 - 08:19
fonte

Leggi altre domande sui tag