Quale cifra si sta abituando

1

Ho usato Fiddler e ho fatto clic su un sito Web https perché volevo vedere se avevo completamente disabilitato SSL e utilizzato solo TLS sul mio laptop.

Nella parte richiesta, vedo questi elencati:

Ciphers: 
    [3A3A]  Unrecognized cipher - See http://www.iana.org/assignments/tls-parameters/
[C02B]  TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
[C02F]  TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
[C02C]  TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
[C030]  TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
[CCA9]  TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
[CCA8]  TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
[C013]  TLS1_CK_ECDHE_RSA_WITH_AES_128_CBC_SHA
[C014]  TLS1_CK_ECDHE_RSA_WITH_AES_256_CBC_SHA
[009C]  TLS_RSA_WITH_AES_128_GCM_SHA256
[009D]  TLS_RSA_WITH_AES_256_GCM_SHA384
[002F]  TLS_RSA_AES_128_SHA
[0035]  TLS_RSA_AES_256_SHA
[000A]  SSL_RSA_WITH_3DES_EDE_SHA

Nella sezione Rispondi, vedo questo:

È stato trovato un handshake ServerHello compatibile SSLv3. Fiddler ha estratto i parametri seguenti.

> Version: 3.3 (TLS/1.2) SessionID: 96 50 2E A8 9A 79 F0 96 36 47 45 0F
> FE 9C A9 7A 17 71 FC 23 6C 2C B7 AF B9 AF D9 7E F4 98 0C 70
> Random:       AD 94 44 B0 70 49 22 60 35 72 F3 68 C1 25 1D 91 80 E1 FE AD
> D6 80 F1 40 36 E5 7A 38 66 3B EF C1
> Cipher:       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 [0xC02F]
> CompressionSuite: NO_COMPRESSION [0x00] Extensions:
>       renegotiation_info  00      ALPN        h2
    
posta Travolta 11.05.2017 - 20:03
fonte

2 risposte

0

Il protocollo in uso è (TLS/1.2) , con cipher suite TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • ECDH effimero per lo scambio di chiavi
  • RSA per la verifica dei parametri ECDH
  • AES a 128 bit in GCM (modalità di funzionamento Galois / Counter) per crittografia e integrità simmetriche di massa
  • SHA-256 per la funzione pseudo-casuale (PRF) richiesta da altre parti della suite (si noti che non viene utilizzato per i controlli di integrità HMAC dei dati, GCM garantisce l'integrità dei dati crittografati)

Questa è una suite di crittografia TLS 1.2 . Tuttavia, questo in realtà non ti dice se il server solo parla TLS. Se vuoi verificarlo, devi usare uno strumento di scansione della configurazione SSL / TLS.

  • Per i server disponibili pubblicamente, lo scanner di test SSL Qualys è ottimo; fornisce un sacco di informazioni con riferimenti e una valutazione generale facilmente comprensibile.
  • Per server interni o ad accesso limitato, SSLyze è uno scanner gratuito e open source che puoi eseguire da qualsiasi macchina. Vi darà risultati molto velocemente, anche se non fornisce la stessa quantità di informazioni che lo scanner di Qualys fa.
  • Per i browser (o altri client), la soluzione migliore è test del client SSL Qualys .

Nota che anche se hai disattivato SSL in alcuni programmi sul tuo computer, non c'è nulla che impedisca ad altri programmi di usarlo. Molte applicazioni client / server SSL / TLS utilizzano la propria libreria (di solito una copia in bundle di OpenSSL) e possono passare qualsiasi parametro del protocollo a quello che vogliono.

    
risposta data 11.05.2017 - 20:20
fonte
0

La ciphersuite in uso è mostrata nella sezione di risposta qui: Cipher: TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 [0xC02F]

La versione di TLS utilizzata viene mostrata nello stesso blocco in alto, qui: (TLS/1.2)

Quindi, stai utilizzando TLS 1.2 con un certificato RSA per l'autenticazione, ECDHE come meccanismo di scambio delle chiavi, i dati sono protetti con AES-128-GCM e SHA-256 è il PRF.

Tuttavia , questo non risponde a quella che sembra essere la tua vera domanda, che è SSLv3 disabilitato? Non puoi dire che da questa connessione, solo che non hai usato SSLv3 per questa connessione, e che il tuo browser (e questo server) possono negoziare con successo una connessione TLS v1.2.

Se si desidera garantire che SSLv3 sia effettivamente disattivato, è necessario tentare di connettersi a un server che non supporta alcuna versione di TLS, o in altre parole, qualcosa di superiore a SSLv3 e assicurarsi che la connessione non riesca. Il fatto che sia possibile negoziare una connessione TLS non ti dice se è possibile o meno connettersi a un sito utilizzando SSLv3.

Un'opzione più semplice: utilizza uno strumento come tester per browser SSL Lab che ti dirà immediatamente che cosa è il tuo browser è capace e ti dà un sì o un no definitivo sul fatto che il supporto SSLv3 sia stato effettivamente disattivato.

    
risposta data 11.05.2017 - 20:16
fonte

Leggi altre domande sui tag