TLS_FALLBACK_SCSV su un server che supporta solo TLSv1 bloccherà una connessione da un client utilizzando TLSv1.2

2

Ho letto la bozza RFC in relazione a TLS_FALLBACK_SCSV e capisco che se sia il client che il server implementano questa funzione e un client lo invia come parte di clienthello, il server deve rifiutare la connessione, se la sua versione di TLS è superiore quella versione del client.

Tuttavia, non mi è chiaro quale dovrebbe essere l'azione corretta, quando un clienthello contiene una versione di TLS più alta di quella supportata dal server, cioè il client richiede TLSv1.2 ma il server implementa solo TLSv1. Il server in questo caso dovrebbe rifiutare la connessione o il client e il server possono negoziare con TLSv1?

Qualcuno potrebbe confermare perché sto esaminando un problema in cui il caso precedente è il caso e il server remoto che implementa solo TLSv1 rifiuta la connessione client.

    
posta Ringo 20.08.2015 - 18:38
fonte

1 risposta

1

Il client invierà TLS_FALLBACK_SCSV solo se fa un handshake TLS con una versione downgrade e il server rifiuterà solo una connessione contenente TLS_FALLBACK_SCSV se può fare una versione migliore. Esempi:

  • Il client può eseguire TLS 1.0 e TLS 1.2, ad esempio TLS 1.2 è il migliore. Il server supporta solo TLS 1.0. Il cliente proverà prima con TLS 1.2. Di solito il server risponde con TLS 1.0 perché è tutto ciò che supporta. Ma alcuni server sono guasti e falliscono completamente l'handshake, nel qual caso i browser eseguono un downgrade della connessione. In questo caso, il browser esegue un handshake TLS 1.0 ma imposta TLS_FALLBACK_SCSV per indicare che fa un fallback. Dal momento che il server fa solo TLS 1.0 in ogni caso non si lamenterà ma accetterà la connessione.
  • Nel secondo esempio viene utilizzato lo stesso client ma il server supporta anche TLS 1.2. Un uomo nel mezzo è seduto tra client e server e interrompe alcune connessioni nella speranza di forzare un downgrade TLS. Dopo che la prima connessione TLS 1.2 dal client sarà interrotta e il client non tenterà di nuovo con TLS 1.0, ma imposta TLS_FALLBACK_SCSV. Questa volta l'attaccante lascerà passare la connessione e il server riceverà l'handshake TLS 1.0 che include TLS_FALLBACK_SCSV. Poiché il server può fare meglio di TLS 1.0, rifiuterà la connessione.
risposta data 20.08.2015 - 19:11
fonte

Leggi altre domande sui tag