Ho letto un bel po 'sulle vulnerabilità di OpenSSL e sui vari punti di forza dei protocolli SSL. Per quanto ne so, qualsiasi protocollo più vecchio di TLS 1.0 deve essere evitato a tutti i costi (alcuni potrebbero sostenere che TLS 1.0 dovrebbe essere evitato anche perché è solo un "upgrade" da SSL 3.0). Capisco anche che ciò è dovuto a carenze nel protocollo e che ciò potrebbe influire su qualsiasi implementazione.
Per poter utilizzare TLS 1.1 e i nuovi protocolli, devi aggiornare OpenSSL almeno alla suite 1.0.1. Ultimamente, sembra che la comunità della sicurezza abbia fatto un lavoro straordinario nel trovare buchi nella più recente implementazione di OpenSSL. Sembra che ogni 2-3 mesi venga scoperta e applicata una nuova vulnerabilità.
Il modo in cui vedo ci sono 3 opzioni:
- o rimani con un protocollo debole ma un'implementazione software abbastanza stabile
- o l'aggiornamento a un'implementazione software meno stabile (OpenSSL) e il rischio che i protocolli non siano implementati correttamente
- o si guardano diversi software diversi da OpenSSL e si rischiano più buchi di implementazione
Che cosa pensa la gente di questa valutazione?
Credo che quello che sto chiedendo sia qual è il meno cattivo dei due mali?