Cosa sta facendo la comunità per supportare il downgrade di TLS? [chiuso]

Question

Cosa sta facendo la comunità per supportare il downgrade di TLS? [chiuso]

#1 da (2 voti)
#2 da (1 voti)
#3 da (-3 voti)

-4

Non c'è molto che un utente medio può fare sulla sua connessione Internet o sull'hardware / software disponibile.

Se vivi in Kazakistan, dal 2006-01-01 avrai tutti gli https MitM dal momento che il Paese deve sapere che cosa leggono i blog e che l'https diffuso per i contenuti pubblici rende molto più difficile compire senza MitMing la connessione. link

Allo stesso modo, SHA1 sunset bloccherà milioni dalla rete crittografata, Facebook avverte .

Se il mio sito utilizza https e TLS, come faccio a abilitare correttamente il supporto per il downgrade in TLS, per non perdere alcun pubblico che potrebbe non essere in grado di stabilire una connessione TLS veramente sicura?

tls-downgrade

posta cnst 12.12.2015 - 04:40

fonte

3 risposte

Leggi altre domande sui tag tls-downgrade

Come verificare l'identità di una persona con certezza del 100%? [chiuso] Quanti simboli e punteggiatura possibili in una password? [chiuso]

score 2 · Answer 1

Niente .

La comunità della sicurezza non ha alcun interesse a compromettere la sicurezza degli utenti o consentire ai governi di spiare i propri cittadini. Anche se vorremmo rendere più facile per il governo kazakoiano effettuare l'attacco al centro (MITM) - questo comprometterebbe la sicurezza di tutti gli utenti .

Per quanto ne so, cercano di costringere i loro cittadini a installare un certificato di root su tutti i loro dispositivi per consentire loro di eseguire l'attacco MITM; questo è paragonabile agli utenti Lenovo che hanno un certificato di root Superfish installato: un palese attacco alla sicurezza del trasporto che deve essere difeso contro.

I buoni modi per farlo sono:

abilita HTTP Strict Transport Security (HSTS) per impedire agli utenti di compromettere accidentalmente la loro sicurezza e imporre la comunicazione crittografata
utilizza HTTP Public Key Pinning (HPKP)
utilizza Autenticazione basata su DNS di entità denominate (DANE) per bloccare la tua chiave pubblica tramite DNS
utilizza Autorizzazione dell'autorità di certificazione DNS (CAA) per indicare quale CA potrebbe emettere certificati validi per il tuo dominio

score 1 · Answer 2

If my site employs https and TLS, how do I properly support downgrade attacks against it?

Esistono diversi tipi di attacchi downgrade come stripping SSL , downgrade del protocollo SSL (da TLS 1.2 a SSL 3.0, vedere link ) o downgrade da un sicuro cifrare con un cifrario debole (es. WeakDH ).

Ma visti i tuoi esempi, non penso che tu stia parlando di attacchi downgrade, ma dell'intercettazione SSL. Quindi mi concentrerò sull'intercettazione, ma la maggior parte dei suggerimenti sarà vera anche per l'attacco di stripping SSL.

Non c'è nulla che tu debba fare per consentire esplicitamente l'intercettazione SSL. Ma l'intercettazione non funzionerà se si utilizzano certificati client. Potrebbe non funzionare se si utilizza una CA non comune per i certificati (o si utilizzano certificati autofirmati), ma ciò dipende dalla configurazione del sistema di intercettazione, che se verifica correttamente i certificati o meno.

score -3 · Answer 3

Sembra che non si stia facendo nulla per questo.

La maggior parte degli sviluppatori di browser e dei difensori della sicurezza oggi vive in un mondo ideale in cui la sicurezza è più importante dell'accesso alle informazioni per i meno fortunati, quindi anche se Google.com, ad esempio, è ancora disponibile tramite semplice http, il team di Google Chrome in modo efficace dice a internet che http deve essere spento.

Sembrerebbe che il modo più semplice sia continuare a supportare lo schema di indirizzo http:// , e sperare che gli utenti sappiano che se seguono un link e il sito non funziona, cercano di rimuovere s da https a vedere se questo fa alcuna differenza.