Catena di fiducia incompleta e ordine di Server Cipher non impostato

1

Ho eseguito un test SSL su un sito Web di test utilizzando testssl ( link ) e ho riscontrato questo problema:

- Chain of trust is Incomplete
- Server Cipher order is not set

Comprendo che quando Chain of Trust è incompleto c'è un certificato intermedio mancante nella catena. Ciò che non è chiaro per me è la sicurezza, quindi quale minaccia è posta da una catena di fiducia incompleta? Lo stesso vale per l'ordine di crittografia del server, perché è rilevante per la sicurezza?

    
posta Doraemon 08.06.2018 - 10:19
fonte

1 risposta

0

What is not clear for me is the security, so what threat is posed by an incomplete chain of trust?

Molti browser aggirano questa catena di fiducia incompleta, cioè riempi il certificato intermedio mancante da altre fonti. In genere ciò viene eseguito utilizzando i certificati memorizzati nella cache locale o utilizzando la parte CA Issuers dell'estensione Accesso alle informazioni dell'autorità nel certificato per scaricare il certificato CA mancante.

Ma a parte i browser desktop, queste soluzioni alternative di solito non sono fatte. Ciò significa che le applicazioni mobili, i browser per dispositivi mobili o le applicazioni o gli script desktop autonomi non riusciranno a convalidare il certificato, il che di solito non riesce ad accedere al sito. In questo caso sarebbe solo un problema di disponibilità. Alcuni sviluppatori però "risolvono" il problema semplicemente disattivando la convalida del certificato - nel qual caso il problema della disponibilità si trasforma in un problema di sicurezza poiché ora i certificati arbitrari sono accettati per il sito e gli attacchi MITM non vengono rilevati.

Server Cipher order is not set

La mia ipotesi è che ciò significhi che il server aderirà alla preferenza dei client delle cifrature invece di avere le proprie preferenze quali cifrature sono le migliori. Finché il server supporta solo cifrari sicuri questo non è un problema poiché il cifrario finale sarà ancora sicuro. In effetti, può essere perfettamente ok per aderire alla preferenza dei clienti. Un esempio è dove il client non ha implementazioni AES supportate da hardware e quindi potrebbe preferire cifrari usando ChaCha20 che hanno implementazioni efficienti solo software. Il server potrebbe accettare questa preferenza per caricare il client - vedi questo blog di Cloudflare per ulteriori .

    
risposta data 09.06.2018 - 06:44
fonte

Leggi altre domande sui tag