Domande con tag 'tls'

domande con tag
2
risposte

Valore dell'utilizzo della passphrase sulla chiave privata

Sto implementando HTTPS con Nginx e ho generato la chiave privata con passphrase. Ora mi chiedo qual è la pratica in ambiente di produzione, utilizzando chiavi non protette o protette con direttiva ssl_password_file ? Non vedo alcun valore i...
posta 17.05.2017 - 10:57
1
risposta

Come proteggere OAuth su un sito Web HTTP [chiuso]

Voglio utilizzare OAuth da una fonte famosa (Facebook / Google / GitHub) come meccanismo di accesso per gli utenti (per semplicità e per evitare di memorizzare password). Quali sono i rischi per la sicurezza? Ho davvero bisogno di HTTPS / TLS...
posta 08.05.2017 - 13:00
1
risposta

Perché ChangeCipherSpec Drop ha funzionato?

A quanto pare, in passato, un uomo nel mezzo era in grado di sconfiggere la sicurezza (riservatezza, per la precisione) di TLS semplicemente sopprimendo il messaggio ChangeCipherSpec . Si chiama "ChangeCipherSpec Drop" e sfortunatamente,...
posta 08.10.2017 - 20:07
1
risposta

Possiamo usare server.key 1024 bit?

openssl genrsa -out server.key 1024 openssl req -new -key server.key -out server.csr "CA step here", generates server.crt, at least 2048 bit RSA Possiamo usare questi due comandi per creare un file server.pem alla fine? O i web browser, i s...
posta 25.07.2017 - 14:47
2
risposte

Decidi l'autenticazione del certificato client in https in base al nome host o all'URL

Supponiamo che questo scenario (inventato): installo un server web che reagisce su due nomi host ( anonymousserver.com e authenticatedserver.com ) Vorrei il seguente comportamento: Se il server web è chiamato da anonymousserve...
posta 06.09.2017 - 18:53
1
risposta

Speedtest e Dnsleaktest DONT funzionano su proxy http o SSL che sto provando, cosa sta succedendo?

Prova tu stesso. Vai a link o link sul tuo Chrome o Firefox browser e vedere se è possibile eseguire un test di velocità o se è possibile eseguire un test di perdita DNS standard. C'è qualche problema di sicurezza nell'implementazione del mi...
posta 31.08.2017 - 07:03
3
risposte

Rimozione del supporto di crittografia debole da TLS

Abbiamo eseguito un controllo sui nostri server pubblici con SSL e abbiamo ricevuto alcuni avvisi per cifrari deboli e potenziali vulnerabilità SWEET32. È nostra intenzione rimuovere ogni cifra crittografata con 3DES, ovvero: TLS_ECDHE_RSA_...
posta 12.07.2017 - 13:05
1
risposta

Che cosa protegge l'estensione TLS EC_POINT_FORMAT e qual è il rischio di non utilizzarlo?

Il test SSL di htbridge ha evidenziato che il server supporta le curve ellittiche ma non l'estensione TLS EC_POINT_FORMAT. Che cosa protegge da tale estensione TLS? Qual è il (potenziale) rischio di non usarlo?     
posta 17.07.2017 - 20:06
1
risposta

Quali sono i lati negativi di non usare SSL / TLS ma usare la stessa crittografia di SSL / TLS? [chiuso]

Quali sono gli svantaggi di non aderire a TLS, ad esempio, utilizzando direttamente algoritmi di crittografia (RSA a 2048 bit, AES a 128 bit entrambi con padding adeguato) forniti dalla libreria SSL per generare chiavi, crittografare, utilizzare...
posta 19.07.2017 - 19:09
1
risposta

Il traffico SSL crittografato con una cifratura debole può essere rinforzato?

Adotta il seguente scenario: L'attaccante esegue un attacco man-in-the-middle sul client, reindirizzando i record DNS di www.example.com per puntare a un server malevolo Il client si connette al server malevolo che completa l'handshake...
posta 27.09.2017 - 21:47