È sufficiente che il server richieda TLS 1.1?

2

Se vogliamo garantire che le connessioni utilizzino TLS versione 1.1 o successiva, è sufficiente impostare un lato della connessione per richiedere TLS versione 1.1 o successiva o fare entrambi i lati della connessione devono essere impostati in modo da richiedere TLS versione 1.1 o successiva?

In altre parole, se Bob richiede TLS 1.1 ma Alice accetta TLS 1.0 (o SSL), supponendo che Eve possa intercettare la richiesta di connessione da Alice a Bob, può Eve sfruttare i punti deboli di TLS 1.0 per ottenere informazioni da Alice che permetterle di creare una connessione TLS 1.1 con Bob?

    
posta Robb Smith 12.06.2017 - 18:17
fonte

1 risposta

1

Il client invia al server le sue suite di crittografia di supporto e il server sceglie quello più alto in cui supporta.

If we want to ensure that connections use TLS version 1.1 or greater, is it sufficient to set one side of the connection to require TLS version 1.1 or greater or do both sides of the connection need to be set to require TLS version 1.1 or greater?

Assicurarsi che il server non supporti protocolli inferiori a TLS 1.1 e quindi tutte le connessioni che tentano meno di TLS 1.1 verranno rifiutate dal server. Tuttavia, qualsiasi client che non supporta TLS 1.1 o versione successiva non sarà in grado di connettersi affatto.

In other words, if Bob requires TLS 1.1 but Alice will accept TLS 1.0 (or SSL), assuming Eve can intercept the connection request from Alice to Bob, can Eve exploit the weaknesses of TLS 1.0 to obtain information from Alice that would allow her to create a TLS 1.1 connection to Bob?

Ci sono attacchi che vengono chiamati attacchi "downgrade" e in poche parole alterano le suite di cifratura dei client per indurre il server a pensare che il client supporti solo suite e protocolli di cifratura più vecchi (più deboli).

Assicurati che il server non supporti suite e protocolli di crittografia deboli e quindi il client (o l'attaccante) non può effettuare il downgrade di un client a uno più debole poiché il server lo rifiuterà come una suite di crittografia in cui non supporta.

    
risposta data 12.06.2017 - 18:23
fonte

Leggi altre domande sui tag