Come impedire il downgrade TLS sul lato client?

0

Oggi ho notato per esperimento che Google Chrome (69.0.3497.100) e Firefox (62.0.3) erano entrambi disposti a connettersi a un server che supportava solo TLS 1.0, anche se il supporto corrispondente era stato rimosso nelle impostazioni del browser.

In Wireshark potevo vedere il client che chiedeva TLS 1.2 e il server che rispondeva che solo una versione inferiore di TLS è supportata - il browser ha continuato felicemente a connettersi.

D'altro canto, MS Edge, dopo aver rimosso il supporto per TLS 1.0 e TLS 1.1 nelle impostazioni di Internet Explorer (non sono riuscito a trovare l'impostazione in Edge) si è rifiutato di connettersi a quel server. È stato collegato solo dopo aver aggiunto nuovamente il supporto TLS 1.0 e 1.1 o dopo aver abilitato TLS 1.2 nel server.

Quale comportamento è corretto?

E c'è un modo per non consentire a Chrome o Firefox di connettersi a un server che non supporta TLS 1.2? Di certo potrei provare a rimuovere il supporto a livello di sistema operativo, ma non sono sicuro di volerlo fare.

    
posta Thomas 18.10.2018 - 17:11
fonte

2 risposte

1

Per chrome major versione 69 il flag --ssl-version-min = tls1.2 non era efficace. In seguito all'aggiornamento alla versione principale 70 questo flag funziona come previsto.

Inoltre, la seguente chiave di registro dovrebbe funzionare anche:

HKLM \ Software \ Policies \ Google \ Chrome \ SSLVersionMin == "tls1.2"

    
risposta data 18.10.2018 - 21:06
fonte
0

In Chrome, dovresti essere in grado di disabilitare forzatamente il fallback di TLS utilizzando il flag - ssl-version-min della riga di comando.

Assicurati di renderlo parte di ogni scorciatoia in modo da non aprirlo accidentalmente senza quell'opzione (ad esempio, modifica sia del menu Start che dell'icona del desktop).

Potresti anche provare le estensioni delle norme di Chrome . Questi sono il modo più semplice per eseguire l'attività tra tutti gli utenti.

Questo è un caso in cui il comportamento di Microsoft è più ragionevole e coerente con gli standard del settore e non capisco perché Chrome si comporta in questo modo.

    
risposta data 18.10.2018 - 17:54
fonte

Leggi altre domande sui tag