Perché tls_version "TLS 1.2" dalla frequenza howsmyssl "Probabilmente va bene" in Chrome su Windows 10 ma "Bad" in IE11 su Windows 7?

1

Sto implementando un endpoint dell'API basato su howsmyssl per controllare la versione TLS dei client e poi informare questi clienti o non hanno superato il test. Tuttavia, diversi clienti hanno segnalato di non aver superato il test sul nostro sito ma di aver passato il test di Salesforce della stessa cosa.

Perché tls_version "TLS 1.2" dalla frequenza howsmyssl "Probabilmente va bene" in Chrome su Windows 10 ma "Bad" in IE11 su Windows 7? È solo il fatto che IE11 supporti "insecure_cipher_suites"? Ecco le risposte JSON per riferimento:

Chrome su Windows 10

{ "given_cipher_suites": [ "TLS_GREASE_IS_THE_WORD_0A", "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256", "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA", "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA", "TLS_RSA_WITH_AES_128_GCM_SHA256", "TLS_RSA_WITH_AES_256_GCM_SHA384", "TLS_RSA_WITH_AES_128_CBC_SHA", "TLS_RSA_WITH_AES_256_CBC_SHA", "TLS_RSA_WITH_3DES_EDE_CBC_SHA" ], "ephemeral_keys_supported": true, "session_ticket_supported": true, "tls_compression_supported": false, "unknown_cipher_suite_supported": false, "beast_vuln": false, "able_to_detect_n_minus_one_splitting": false, "insecure_cipher_suites": {}, "tls_version": "TLS 1.2", "rating": "Probably Okay" }

IE11 su Windows 7

{ "given_cipher_suites": [ "TLS_RSA_WITH_AES_128_CBC_SHA256", "TLS_RSA_WITH_AES_128_CBC_SHA", "TLS_RSA_WITH_AES_256_CBC_SHA256", "TLS_RSA_WITH_AES_256_CBC_SHA", "TLS_RSA_WITH_RC4_128_SHA", "TLS_RSA_WITH_3DES_EDE_CBC_SHA", "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA", "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA", "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384", "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA", "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA", "TLS_DHE_DSS_WITH_AES_128_CBC_SHA256", "TLS_DHE_DSS_WITH_AES_128_CBC_SHA", "TLS_DHE_DSS_WITH_AES_256_CBC_SHA256", "TLS_DHE_DSS_WITH_AES_256_CBC_SHA", "TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA", "TLS_RSA_WITH_RC4_128_MD5" ], "ephemeral_keys_supported": true, "session_ticket_supported": false, "tls_compression_supported": false, "unknown_cipher_suite_supported": false, "beast_vuln": false, "able_to_detect_n_minus_one_splitting": false, "insecure_cipher_suites": { "TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA": ["uses 3DES which is vulnerable to the Sweet32 attack but was not configured as a fallback in the ciphersuite order"], "TLS_RSA_WITH_3DES_EDE_CBC_SHA": ["uses 3DES which is vulnerable to the Sweet32 attack but was not configured as a fallback in the ciphersuite order"], "TLS_RSA_WITH_RC4_128_MD5": ["uses RC4 which has insecure biases in its output"], "TLS_RSA_WITH_RC4_128_SHA": ["uses RC4 which has insecure biases in its output"] }, "tls_version": "TLS 1.2", "rating": "Bad" }

    
posta bw-patrick 12.10.2017 - 22:56
fonte

2 risposte

3

Bene, dal messaggio di errore che hai postato, il tuo IE11 è disposto a utilizzare alcuni crypto veramente obsoleti e rotti, ma il Chrome no. Questo strumento ti fornisce anche una utile descrizione del perché ciascuno di essi è considerato non sicuro / vulnerabile:

"insecure_cipher_suites": {
    "TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA": ["uses 3DES which is vulnerable to the Sweet32 attack but was not configured as a fallback in the ciphersuite order"],
    "TLS_RSA_WITH_3DES_EDE_CBC_SHA": ["uses 3DES which is vulnerable to the Sweet32 attack but was not configured as a fallback in the ciphersuite order"],
    "TLS_RSA_WITH_RC4_128_MD5": ["uses RC4 which has insecure biases in its output"],
    "TLS_RSA_WITH_RC4_128_SHA": ["uses RC4 which has insecure biases in its output"]

Scansionando quell'elenco di pacchetti di cifrari con i miei occhi umani, sarei d'accordo che l'elenco di Chrome è "probabilmente ok" e l'elenco di IE è "cattivo", esattamente per gli stessi motivi indicati nel messaggio di errore. Quelli sono vecchi e insicuri, un browser non dovrebbe suggerirli al server. Se il server non supporta nessuno dei nuovi aspetti positivi, il browser dovrebbe rifiutarsi di visualizzare il lucchetto.

Si noti che TLS 1.2 è solo la versione del protocollo (tipi di messaggi) e non ha quasi nulla a che fare con la crittografia. Vuoi essere su TLS 1.2 perché ti dà accesso alle cose buone che non sono in 1.1, ma 1.2 supporta anche vecchie cose cattive per ragioni di compatibilità con le versioni precedenti.

    
risposta data 13.10.2017 - 03:26
fonte
2

Is it just the fact that IE11 supports "insecure_cipher_suites"?

Per citare dai siti documentazione :

Insecure Cipher Suites
...
Any client supporting an insecure cipher suite will be marked as Bad.

    
risposta data 12.10.2017 - 23:00
fonte

Leggi altre domande sui tag