Quali sono i vantaggi e gli svantaggi della disabilitazione del lato client TLS1.2 (nel browser)?

Question

Quali sono i vantaggi e gli svantaggi della disabilitazione del lato client TLS1.2 (nel browser)?

#1 da (-1 voti)

1

Stiamo valutando la possibilità di disabilitare TLS1.0 e TLS1.1 nelle politiche per un browser utilizzato a livello di organizzazione. Abbiamo già un browser principale, dove > = TLS1.0 è abilitato (ad esempio SSLv3 è disabilitato). Non sappiamo se i siti che l'utente utilizza, utilizza

La migliore pratica è usare TLS1.2 e disabilitare in aggiunta i cifrari RC4 e 3DES. Si riferisce solo alla configurazione del server Web delle suite SSL / TLS-cihper e non proprio al client.

Quali sono i vantaggi e gli svantaggi di disabilitare il supporto per il lato client TLS1.0 / TLS1.1? In che modo l'utente è ulteriormente protetto? Potrebbe un utente malintenzionato, ad es. uso forzato di una crittografia 3DES-TLS1.0 (se l'utente visita una pagina usando questo) o un attacco del genere rende vulnerabile il server Web?

web-browser tls cipher-selection ciphers tls-downgrade

posta RasmusP_963 16.08.2017 - 12:45

fonte

1 risposta

Leggi altre domande sui tag web-browser tls cipher-selection ciphers tls-downgrade

In che modo il tag di ancoraggio (a) consente di eseguire un XSS riflesso? Termini per differenziare tra key-exchange e criptosistema a chiave pubblica

score -1 · Answer 1

Il grosso svantaggio per gli utenti in questo caso sarebbe che non potevano più accedere ai siti che non supportano TLSv1.2. I dati su questi siti sono abbastanza difficili da trovare (ho trovato un sondaggio del 2014 , che ha trovato 1/3 siti supportati TLSv1.2, ma è antico in termini di web), quindi questo potrebbe essere un grosso problema, o potrebbe essere un non-problema, a seconda di ciò che il personale ha bisogno di accedere.

Alcuni dei problemi noti con versioni precedenti di TLS sono in realtà problemi di implementazione con i server che li supportano. Per quelli, non c'è alcun beneficio diretto del client per disabilitare i protocolli.

In termini di evitare l'uso di 3DES e altri cifrari deboli, si tratta di un problema separato: è possibile utilizzare 3DES con TLSv1.2, anche se di solito c'è una chiamata molto piccola, poiché un sistema con supporto per TLSv1.2 sosterrà i cifrari più forti. Non sono a conoscenza di un metodo affidabile per rifiutare l'uso di cifrari specifici dal lato client.