Il protocollo TLS rende ridondante la crittografia ai livelli L2 / L3?

TL; DR: TLS protegge la connessione a un host o servizio specifico. Non aiuterà a garantire che l'host o il servizio giusto sia scelto correttamente. Se questo è un problema o meno dipende dal caso d'uso specifico.

TLS offre una protezione end-to-end contro lo sniffing e la modifica anche se non viene utilizzata tale protezione nei livelli inferiori. Rileverà anche se un utente malintenzionato tenta di spoofing di un sistema esistente reindirizzando i livelli sottostanti (ad esempio, spoofing ARP o spoofing risposta a una ricerca DNS A / CNAME). Pertanto non è necessario disporre di protezione aggiuntiva a livello bluetooth per un trasferimento già protetto da TLS.

Si noti tuttavia che potrebbero esserci parti dello stack del protocollo di sistema che non sono sufficientemente protette e che potrebbero portare alla creazione di una connessione TLS con il nome o il servizio dell'host sbagliato. Ad esempio, per consegnare una posta tra i server di posta viene eseguita una ricerca DNS MX per trovare il server di posta per un dominio specifico. Poiché le ricerche DNS non sono comunemente protette contro lo spoofing, è possibile utilizzare uno spoofing della risposta a una ricerca MX per restituire un nome host di destinazione diverso che si traduce in una connessione al server di posta errato (falsificato). In questo caso, TLS non sarà di aiuto poiché la connessione viene eseguita al server di posta (spoofing) previsto che restituisce anche un certificato valido per questo server di posta (con spoofing). Una scoperta insicura simile di host e servizi di destinazione esiste in altri protocolli, come SIP (VoIP) o < a href="https://en.wikipedia.org/wiki/Web_Proxy_Auto-Discovery_Protocol"> WPAD .