Attacco bestia e test SSL Qualys

0

Se un server supporta

|   SSLv3: No supported ciphers found
|   TLSv1.0: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA - strong
|     compressors: 
|       NULL
|   TLSv1.2: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 - strong
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - strong
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA256 - strong
|       TLS_RSA_WITH_AES_256_GCM_SHA384 - strong
|     compressors: 
|       NULL

Qualys ssl test ottiene A e non dice che è vulnerabile all'attacco bestiale, tuttavia CBC e TLS1.0 se so che correttamente dovrebbe renderlo bestiale attaccabile.

La mia comprensione è errata o ssltest su ssllabs non lo segnala.

    
posta Jigar Joshi 26.06.2015 - 23:24
fonte

1 risposta

2

Labs SSL non penalizza più questo

In un blog post datato 2013-09-10 Il responsabile del progetto SSL Labs, Ivan Ristic, ha dichiarato:

Yesterday I changed the SSL Labs rating criteria to stop penalizing sites that do not implement server-side mitigations for the BEAST attack. That means that we now consider this attack sufficiently mitigated client-side, [...]

Dettagli / Timeline

  • 2011-08-23 BEAST è rivelato
  • 2013-02-07, Labs SSL: la vulnerabilità all'attacco BEAST limita il grado in B.
  • 2013-09-09, SSL Labs: il limite di qualità viene rimosso.

La cronologia delle versioni di SSL Labs è stata presa dalla loro Guida alla valutazione dei server SSL PDF.

    
risposta data 27.06.2015 - 07:32
fonte

Leggi altre domande sui tag