Qual è la differenza tra SSLv3 deprecato e SSLv2 vietato?

2

Ho lavorato su alcuni documenti di sicurezza per un database al lavoro - una guida rapida su come creare una connessione JDBC su TLS per questo. I documenti ho menzionato che mentre supporta SSLv2, SSLv3 e TLSv1, SSL non è raccomandato. Non ho alcun problema con l'aggiunta di questo alla guida, o il collegamento alle RFC rilevanti, ma sono un po 'incerto sulla lingua utilizzata dagli RFC.

  • RFC 6176 proibisce l'uso di SSLv2, che interpreto come "Non usare questo. ... non lo fanno. "
  • RFC 7658 deprecate SSLv3; la mia interpretazione di questo è "Non usare questo, a meno che tu davvero non ne abbia bisogno".

Entrambi gli RFC affermano che la loro versione di SSL non deve essere utilizzata. Quindi, le mie interpretazioni sono accurate? In caso contrario, qual è la differenza?

    
posta Philip Rowlands 27.07.2016 - 09:57
fonte

1 risposta

6

Entrambi i documenti intendono proibire l'uso del rispettivo protocollo e utilizzare lo stesso RFC 2119 come riferimento per la terminologia.

RFC 7658 (quello intitolato "Deprecating ...") dice specificatamente:

  1. Security Considerations

    This entire document aims to improve security by prohibiting the use of a protocol that is not secure.

Entrambi i documenti sono stati scritti in tempi diversi, da squadre diverse ed entrambi sono classificati come "standard proposto". Inoltre, i titoli RFC sembrano non essere standardizzati e nessun documento BCP di IETF menziona come dovrebbero essere formati i titoli.

I documenti dovrebbero essere considerati nel loro insieme e la loro interpretazione e applicazione dovrebbero estendersi oltre i loro titoli.

    
risposta data 27.07.2016 - 10:20
fonte

Leggi altre domande sui tag