Cosa negozia i codici SSL? [duplicare]

1

Alla luce della recente vulnerabilità FREAK sto cercando di ottenere una presa su quali codici vengono utilizzati dalle connessioni in entrata. Ho traccia FTP su cui mi sta dando quali cifrature vengono negoziate tra client esterni e il sistema che sto usando. Tuttavia, mi piacerebbe sapere cosa effettivamente negozia il codice SSL? È negoziato dal software client come FileZilla, ecc o è negoziato dal sistema operativo? Qualcos'altro?

    
posta Dude 12.03.2015 - 17:44
fonte

2 risposte

2

In SSL / TLS il client suggerisce ma il server sceglie . Il client invia un elenco di suite di crittografia supportate e il server ne seleziona una in tale elenco. L'elenco inviato dal cliente viene ordinato in base alle preferenze, ma nulla impone al server di onorare realmente le preferenze del cliente.

Sia sul lato client che sul lato server, come spiega @schroeder, il software applicativo fa davvero il lavoro, ma può mantenere la sua configurazione in una postazione centralizzata, soprattutto se l'OS effettiva prevede l'effettiva implementazione del protocollo. In generale, tale centralizzazione è molto più comune nel mondo Windows rispetto all'ecosistema Linux.

Il client FileZilla utilizza GnuTLS per la sua implementazione SSL / TLS; per quanto ne so, come libreria, non usa alcuna configurazione centralizzata per i dettagli del protocollo lato client, quindi qualunque lista di suite di crittografia supportate inviate da FileZilla sarà decisa dal codice dell'applicazione FileZilla stesso - o, più probabilmente , usano solo le impostazioni predefinite di GnuTLS.

    
risposta data 12.03.2015 - 18:06
fonte
1

La negoziazione della suite di crittografia avviene nel handshake TLS come primo passaggio. Le applicazioni / i servizi stessi determinano quali suite di crittografia supportano e entrambe le parti concordano su quali suite utilizzare.

La domanda "il sistema operativo negozia la suite di crittografia" è un po 'confusa in Windows dal fatto che molte delle impostazioni del servizio (IIS, ad esempio) sono memorizzato nel registro , che può far sembrare che il sistema operativo sia quello che sta facendo la negoziazione. Tuttavia, l'idea è ancora che sia il servizio (w3svc) che esegue la negoziazione e le sue impostazioni sono memorizzate nel registro del sistema operativo.

    
risposta data 12.03.2015 - 17:51
fonte

Leggi altre domande sui tag