Domande con tag 'tls'

domande con tag
1
risposta

TLS 1.2 standard basato su certificati di autenticazione reciproca

Sto eseguendo un'analisi su un'implementazione client-server basata su certificati di autenticazione reciproca TLS1.2 e mi chiedo se c'è un documento RFC o di riferimento che copre il processo di handshake quando si tratta di autenticazione reci...
posta 16.10.2015 - 17:22
1
risposta

Generazione del proprio certificato SSL utilizzando DSC emesso da una CA.

Ok. Quindi, ecco quello che so: Il certificato SSL viene utilizzato per verificare il dominio per il protocollo HTTPS. Questi sono rilasciati da un'autorità di certificazione principale per garantire che possano essere considerati affidabil...
posta 23.10.2015 - 18:44
2
risposte

Si può intercettare una connessione TLS correttamente implementata?

Supponendo una connessione TLS in cui sia il server che il client aderiscono perfettamente agli standard pertinenti. Un proxy HTTPS trasparente può intercettare la connessione TLS? (Supponendo che il certificato "mock CA" utilizzato dal pro...
posta 04.09.2015 - 00:02
1
risposta

Viene intercettato il traffico ssh-socks che rivela il numero e le dimensioni degli oggetti HTTP?

Ho letto un articolo intitolato la rete è ostile , in cui è indicato quanto segue: Traffic analysis remains a particular problem: even knowing the size of the files requested by a TLS-protected browser connection can leak a vast amount of...
posta 22.08.2015 - 11:58
1
risposta

È possibile dedurre il supporto della firma SHA256 dalle suite di crittografia TLS o da qualsiasi altra parte di ClientHello (se non è stato inviato nessun signature_algorithm)?

I siti web che mirano a mantenere la massima compatibilità con i browser (legacy) potrebbero voler servire catene di certificati firmati SHA2 a quegli agenti utente che li supportano e SHA1 a quelli che non lo fanno. Il codice TLS 1.2 ( link...
posta 07.09.2015 - 02:26
1
risposta

Quali browser Web supportano ECC vs DSA vs RSA per SSL / TLS?

Stiamo aggiornando il nostro certificato con caratteri jolly e vediamo che abbiamo la possibilità di utilizzare sia RSA che DSA con Symantec (per gratuito ), mentre Digicert offre 3 opzioni per i caratteri jolly ECC, DSA e RSA. Esiste una...
posta 16.05.2015 - 15:59
1
risposta

Come creare una richiesta di firma del certificato (CSR) decente?

Mi piacerebbe sapere come creare una Certificate Signing Request (CSR) decente per proteggere il mio sito web e la posta elettronica con un certificato SSL jolly. Con recenti exploit come POODLE su SSLv3 e simili, mi piacerebbe sapere come fare...
posta 29.10.2014 - 21:07
2
risposte

Disabilita SSLv3 a livello di sistema per tutti i client?

Dopo aver letto su Bug di secretezza dei barboncini , ho disabilitato SSLv3 sul mio server e browser. Ma ci sono diversi client che non espongono le impostazioni abbastanza dettagliate tramite i propri mezzi di configurazione, ad es. ownclou...
posta 15.10.2014 - 21:59
1
risposta

Come impedire al browser di rendere il contenuto malevolo se la richiesta o la risposta sono violate?

Al momento stiamo lavorando su correzioni di sicurezza OWASP e abbiamo identificato uno scenario di attacco per il quale stiamo cercando di capire una possibile soluzione: L'utente raggiunge un HTTPRequest valido per la nostra applicazione....
posta 10.02.2015 - 12:08
1
risposta

Autenticazione tra due server interni

Ho due server interni che stanno per comunicare tra loro; parlano HTTPS. Esiste una best practice per l'autenticazione delle comunicazioni tra server interni? A parte una buona pratica, la mia idea attuale è di avere sia il server che il "cli...
posta 11.09.2014 - 23:27