Supporto RC4 nella configurazione SSL

0

GitHub recentemente ha migliorato la sua configurazione SSL rimuovendo il supporto RC4:

To keep GitHub as secure as possible for every user, we will remove RC4 support in our SSL configuration on github.com and in the GitHub API on January 5th 2015.

RC4 has a number of cryptographic weaknesses that may be exploited, impacting the security of your data. More details about these vulnerabilities are listed in the current IETF draft.

If you are using Internet Explorer on Windows XP, you will no longer be able to access github.com once this change takes place. Windows XP only supports outdated SSL ciphers, is no longer supported by Microsoft, and contains a known critical security problem in its SSL implementation.

Poiché questo rompe il sito in Internet Explorer su Windows XP, presumo che i siti accessibili con IE su Windows XP debbano supportare cifrari RC4.

Questo significa che quei siti non sono il più sicuri possibile?

    
posta rink.attendant.6 10.01.2015 - 09:46
fonte

2 risposte

2

C'è un solo modo per rendere un sito il più sicuro possibile: portarlo completamente offline. Tutto il resto è un compromesso: quali browser e client vuoi consentire al tuo sito.

Anche GitHub non è ancora il più sicuro possibile. Consentono TLS 1.0 e TLS 1.1 mentre è presente un TLS 1.2 più recente. Disabilitare TLS 1.0 e TLS 1.1 negherebbe comunque gli utenti con Internet Explorer 7/8/9 su Vista che non sono (ancora) disposti a fare.

Per rispondere alla tua domanda: sì, quegli altri siti non sono il più sicuri possibile. Ma nemmeno GitHub.

    
risposta data 10.01.2015 - 14:33
fonte
0

Puoi abilitare 3DES che è un'alternativa esistente prima di AES, ma è una delle suite di crittografia TLS più lente.

    
risposta data 29.01.2015 - 08:29
fonte

Leggi altre domande sui tag