La barra EV del certificato EV (Extended Validation) è influenzata dalle suite di crittografia disponibili?

0

Mi chiedo se la "barra verde" di Extended Validation (EV) sul browser Web sia influenzata da Cipher Suites. Non riesco a trovare sembra trovare un riferimento che dice che a parte questa risposta . Anche se trovo strano che uno dei siti web con certificato EV sia correttamente mostrato in verde nel browser mobile mentre l'altro no.

I siti Web dotati di barra verde dispongono delle seguenti suite di crittografia:

            PORT    STATE SERVICE REASON
            443/tcp open  https   syn-ack ttl 117
            | ssl-enum-ciphers: 
            |   TLSv1.0: 
            |     ciphers: 
            |       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
            |       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
            |       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - A
            |       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
            |       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
            |       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A
            |     compressors: 
            |       NULL
            |     cipher preference: server
            |   TLSv1.1: 
            |     ciphers: 
            |       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
            |       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
            |       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - A
            |       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
            |       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
            |       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A
            |     compressors: 
            |       NULL
            |     cipher preference: server
            |   TLSv1.2: 
            |     ciphers: 
            |       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
            |       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
            |       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
            |       TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
            |       TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
            |       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
            |       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - A
            |       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
            |       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
            |       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
            |       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
            |       TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
            |       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
            |       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A
            |     compressors: 
            |       NULL
            |     cipher preference: server
            |_  least strength: A

Mentre l'altro ha solo questi:

            PORT    STATE SERVICE REASON
            443/tcp open  https   syn-ack ttl 119
            | ssl-enum-ciphers: 
            |   TLSv1.2: 
            |     ciphers: 
            |       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
            |       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
            |       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
            |       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
            |     compressors: 
            |       NULL
            |     cipher preference: server
            |_  least strength: A

Il controllo dei codici viene eseguito utilizzando NMap. La mia domanda è se la selezione della suite di crittografia influisce sulla "barra verde" nel browser Web o forse su qualcos'altro in gioco? Grazie.

    
posta Bagus Tesa 26.10.2017 - 04:11
fonte

1 risposta

2

Is EV (Extended Validation) Certificate Green Bar Affected by Available Cipher Suites?

No, non lo è. Quello che hai qui è un altro problema causato da una configurazione inconsistente del sito in questione. I dettagli seguono di seguito.

Sulla base del tuo feedback sui nomi di dominio in chat ho controllato il sito in questione con diversi sistemi e mostra un comportamento incoerente: su alcuni sistemi restituisce un certificato non EV rilasciato da "GlobalSign Organization Validation CA - SHA256 - G2 "e su altri sistemi un certificato EV rilasciato da" GlobalSign Extended Validation CA - SHA256 - G3 ".

Guardando alla differenza di questi sistemi ho capito che la mia versione mobile utilizzava IPv6 mentre il mio desktop utilizzava IPv4 per accedere al sito. In effetti, la visualizzazione del rapporto per questo dominio da SSLLabs fornisce un indirizzo IPv4 e IPv6 per questo sito, dove l'indirizzo IPv4 sta servendo il certificato EV mentre l'indirizzo IPv6 sta servendo il certificato non EV.

Si può riprodurlo su un sistema abilitato IPv6 con nmap. Per IPv4:

$ nmap -p443 -script=ssl-cert your.hostname.here 
...
| Issuer: commonName=GlobalSign Extended Validation CA - SHA256 - G3/organizationName=GlobalSign nv-sa/countryName=BE

Mentre con IPv6:

$ nmap -6 -p443 -script=ssl-cert your.hostname.here 
...
| Issuer: commonName=GlobalSign Organization Validation CA - SHA256 - G2/organizationName=GlobalSign nv-sa/countryName=BE

In sintesi: la barra verde è corretta perché il sito non offre un certificato EV per il sistema mobile utilizzando IPv6, ma serve il certificato EV solo quando si accede con IPv4.

    
risposta data 26.10.2017 - 06:59
fonte

Leggi altre domande sui tag