Cosa sta facendo la comunità per supportare il downgrade di TLS? [chiuso]

-4

Non c'è molto che un utente medio può fare sulla sua connessione Internet o sull'hardware / software disponibile.

Se vivi in Kazakistan, dal 2006-01-01 avrai tutti gli https MitM dal momento che il Paese deve sapere che cosa leggono i blog e che l'https diffuso per i contenuti pubblici rende molto più difficile compire senza MitMing la connessione. link

Allo stesso modo, SHA1 sunset bloccherà milioni dalla rete crittografata, Facebook avverte .

Se il mio sito utilizza https e TLS, come faccio a abilitare correttamente il supporto per il downgrade in TLS, per non perdere alcun pubblico che potrebbe non essere in grado di stabilire una connessione TLS veramente sicura?

    
posta cnst 12.12.2015 - 04:40
fonte

3 risposte

2

Niente .

La comunità della sicurezza non ha alcun interesse a compromettere la sicurezza degli utenti o consentire ai governi di spiare i propri cittadini. Anche se vorremmo rendere più facile per il governo kazakoiano effettuare l'attacco al centro (MITM) - questo comprometterebbe la sicurezza di tutti gli utenti .

Per quanto ne so, cercano di costringere i loro cittadini a installare un certificato di root su tutti i loro dispositivi per consentire loro di eseguire l'attacco MITM; questo è paragonabile agli utenti Lenovo che hanno un certificato di root Superfish installato: un palese attacco alla sicurezza del trasporto che deve essere difeso contro.

I buoni modi per farlo sono:

risposta data 12.12.2015 - 17:10
fonte
1

If my site employs https and TLS, how do I properly support downgrade attacks against it?

Esistono diversi tipi di attacchi downgrade come stripping SSL , downgrade del protocollo SSL (da TLS 1.2 a SSL 3.0, vedere link ) o downgrade da un sicuro cifrare con un cifrario debole (es. WeakDH ).

Ma visti i tuoi esempi, non penso che tu stia parlando di attacchi downgrade, ma dell'intercettazione SSL. Quindi mi concentrerò sull'intercettazione, ma la maggior parte dei suggerimenti sarà vera anche per l'attacco di stripping SSL.

Non c'è nulla che tu debba fare per consentire esplicitamente l'intercettazione SSL. Ma l'intercettazione non funzionerà se si utilizzano certificati client. Potrebbe non funzionare se si utilizza una CA non comune per i certificati (o si utilizzano certificati autofirmati), ma ciò dipende dalla configurazione del sistema di intercettazione, che se verifica correttamente i certificati o meno.

    
risposta data 12.12.2015 - 11:54
fonte
-3

Sembra che non si stia facendo nulla per questo.

La maggior parte degli sviluppatori di browser e dei difensori della sicurezza oggi vive in un mondo ideale in cui la sicurezza è più importante dell'accesso alle informazioni per i meno fortunati, quindi anche se Google.com, ad esempio, è ancora disponibile tramite semplice http, il team di Google Chrome in modo efficace dice a internet che http deve essere spento.

Sembrerebbe che il modo più semplice sia continuare a supportare lo schema di indirizzo http:// , e sperare che gli utenti sappiano che se seguono un link e il sito non funziona, cercano di rimuovere s da https a vedere se questo fa alcuna differenza.

    
risposta data 12.12.2015 - 17:18
fonte

Leggi altre domande sui tag