In questi giorni osserviamo la tendenza a utilizzare HTTP su TLS (HTTPS) per tutte le comunicazioni. Raccomanda tutti i fornitori di servizi Internet pesanti e che afferma di buone pratiche. Ma la suite TLS ha 3 opzioni per diversi scopi:
- Verifica del certificato per garantire l'autorizzazione del server.
- Verifica hash per garantire che il pacchetto HTTP non venga alterato da apparecchiature di rete, Man-in-the-Middle, ISP, ecc.
- Cripta i dati per nasconderlo dalla lettura di Man-in-the-Middle.
Le prime due opzioni hanno senso per tutti i tipi di connessione. Ma il terzo ha senso solo per i dati sensibili. Supponiamo che l'utente apra un sito di pubbliche relazioni pubbliche o una biblioteca pubblica. In che senso aggiungere un sovraccarico di crittografia a tali dati? La stessa situazione con la compressione TLS e la normale compressione HTTP nel canale TLS. Compressione deprecata perché CRIME e BREACH attacca la vulnerabilità dei dati crittografati e può essere utilizzata per dati pubblici.
Allo stesso tempo i browser più comuni non supportano la crittografia NULL. Puoi assicurarti sul test di ssllabs.com
Ho controllato Chrome / 54.0.2840.100 e Firefox / 49.0 ed entrambi non supportano TLS_RSA_WITH_NULL_SHA o simili