¿Se puede hacer seguro el servicio de HTTPS a Internet Explorer en Windows XP?

5

Respuestas a ¿Por qué HTTPS no es el protocolo predeterminado? declare que muchos sitios siguen usando HTTP transparente en lugar de HTTPS porque todos estos son verdaderos:

  • Un número considerable de visitantes al sitio utiliza Internet Explorer 6, 7 u 8 para Windows XP (IE / XP).
  • IE / XP puede ver solo el primer certificado en el puerto 443 de una dirección IP dada porque usa la biblioteca TLS de Windows XP, que carece de soporte para la Indicación de nombre de servidor (SNI). (Chrome y Firefox en Windows XP usan diferentes bibliotecas TLS que admiten SNI).
  • El sitio comparte una dirección IPv4 con otro sitio HTTPS porque no puede permitirse una dirección IPv4 dedicada cada vez más escasa.

Sin embargo, a partir de abril de 2014, el soporte extendido para IE / XP y el resto de Windows XP ha finalizado. Esto significa que hay defectos en IE / XP que Microsoft ya no solucionará. Un actor malintencionado podría instalar software no deseado mediante la explotación de una vulnerabilidad de día cero como resultado de uno de estos defectos, lo que anularía el propósito de confidencialidad de HTTPS de una de estas dos formas:

  • Un keylogger podría capturar todas las credenciales de pago, como los números de tarjetas de crédito y las contraseñas de Amazon o PayPal, que un usuario de IE / XP ingresa en los sitios HTTPS.
  • Un proxy y una autoridad de certificación que se ejecutan en la máquina local podrían realizar un ataque de hombre en el medio (MITM) en todas las conexiones HTTPS del usuario.

¿Qué factores debe sopesar el operador de un sitio web al determinar si continuar intentando ofrecer páginas seguras a los usuarios de IE / XP? ¿Hay algún argumento abrumador a partir del primer trimestre de 2015 para acomodar o bloquear IE / XP en un sitio seguro?

    
pregunta Damian Yerrick 19.02.2015 - 17:45
fuente

3 respuestas

2

Respuesta rápida

¡No!

Solución aceptable

Incluso una conexión HTTPS de IE o Windows XP no puede considerarse como Asegurado por un usuario normal e incluso experto. Era una combinación débil conocida mucho antes de que Microsoft anunciara su fecha límite de soporte.

Por lo tanto, sugeriría un enfoque de 2 pasos para un arquitecto de servidores web.

  1. Detecte el referente, y si es IE cualquier versión o XP cualquier versión,  redirija al cliente hacia una página web que indica que usted identificó que se está conectando desde un entorno informático que se conoce como no seguro. Afirma claramente que no puedes ser responsable de ningún espía en su conexión que pueda ocurrir en el nivel de su computadora y su software elegido.

  2. Pregúntele si acepta el riesgo involucrado y desea continuar con un  conexión insegura incluso con el infame candado pequeño que se puede mostrar, incluso con la URL del servidor comenzando con https:// e incluso con los certificados de alta calidad que instaló en su servidor web. Tras el acuerdo explícito del usuario, redirigirlo hacia el núcleo de su servidor web a través de HTTPS. Ante el desacuerdo, felicítelo por tomar una buena decisión y esperamos volver a verlo pronto en un entorno de plena confianza.

Esta será una comunicación correcta que informará a sus clientes y al mismo tiempo les ofrecerá la oportunidad de generar ideas y mejorar, un día, su seguridad :).

    
respondido por el daniel Azuelos 23.05.2015 - 12:22
fuente
1

Sugeriría que, dado que Windows XP ya no tiene soporte (aparte de las organizaciones que han adquirido soporte técnico de Microsoft), en la mayoría de los sitios sería razonable dejar de admitirlo.

Sin embargo, para sopesar esto, es realmente una consideración de sitio por sitio. Los factores clave podrían incluir

  1. ¿Qué porcentaje de usuarios del sitio utiliza actualmente Windows XP / IE 6 (debería estar disponible en los registros del servidor web, software de monitoreo)?
  2. ¿Existe alguna razón específica por la que los usuarios del sitio no puedan actualizarse a una combinación más reciente de sistema operativo / navegador (por ejemplo, en algunos casos las aplicaciones específicas solo funcionan con combinaciones específicas de navegador / SO)
  3. ¿Existe alguna razón comercial por la cual el operador del sitio deba brindar soporte a todos los usuarios potenciales (por ejemplo, requisitos contractuales)?
  4. Qué tipo de negocio es tramitado por el sitio. Como se mencionó en los comentarios, Windows XP / IE 6 es una combinación vulnerable conocida ahora, por lo que, por ejemplo, una aplicación de banca en línea podría tomar una decisión de riesgo para eliminar a los usuarios que no están dispuestos o no pueden actualizarse para reducir las posibles pérdidas por fraude.
  5. ¿Qué costos / consecuencias hay para el sitio para mantener la compatibilidad con IE 6 / Windows XP (por ejemplo, la incapacidad de implementar SNI o la incapacidad de actualizar el software del lado del servidor a versiones que no admiten esa combinación)? / li>
respondido por el Rоry McCune 22.03.2015 - 20:07
fuente
0

básicamente Daniel Azuelos tiene una respuesta bastante sólida, pero quiero ampliar un poco más sobre eso.

IE en XP es, por muchas razones, obviamente no es una buena idea, pero ante todo, a menos que alguien pueda tener IE6 en XP SP3, al menos puedes tirar esa cosa por la ventana y cualquier XP que no tenga SP3 no puede ser HTTPS fue en primer lugar con un certificado de confianza pública porque cualquier CA de confianza pública tiene que usar SHA2 (SHA-256, SHA-384 o SHA-512) durante bastante tiempo, lo que solo funciona en SP3 de XP.

en resumen:

  • XP SP2 o inferior no puede ser obtenido mediante certificados públicos, aunque si esas computadoras XP están bajo su control (como las computadoras internas de la compañía), puede usar una CA personalizada para hacer que funcionen
  • XP SP3 se puede hacer al menos un poco seguro utilizando 3DES y un certificado RSA
  • para cualquier cosa que deba ser más segura que un poco (especialmente cualquier cosa que involucre el manejo de datos o dinero altamente personales, creo que XP no es una buena idea.

entonces, ¿qué puedes hacer?

  • si sus usuarios generalmente llegan al dominio escribiéndolo, verifique los encabezados y si hay algo que diga claramente que es SP3 o un navegador diferente (específicamente Firefox, ya que puede ejecutarse bastante seguro desde un punto de vista de HTTPS, ya que hace su propia implementación HTTPS) luego redirige al usuario a HTTPS
  • de lo contrario, si no puede estar seguro de qué XP Service Pack tiene el usuario y él no está usando Firefox o quizás Chrome (no lo intenté) permanezca en HTTP, déle al usuario un inttersitial que explica que puede acceder a una página HTTPS no funcionará cuando no tenga XP Service Pack 3 o al menos un navegador adecuado.
  • También se puede hacer una cosa para permitir que CADA usuario de XP en la intersticial, y que acepten que usan su computadora no segura para navegar en el sitio web.
  • cuando un usuario de XP llega a HTTPS, recuérdelo constantemente (por ejemplo, con una pequeña barra en la parte superior) que las cosas que suceden en este sitio no pueden hacerse muy seguras junto con un enlace informativo que explique todo lo más simple posible. sobre por qué, incluso si tiene un navegador como Firefox que puede manejar HTTPS de forma segura, que las cosas como el malware se pueden reproducir fácilmente en XP y, por lo tanto, cualquier cosa que escriba en esta computadora se puede comprometer con facilidad.
  • también si el usuario tiene IE6 o 7 deja claro que IE6 es un mal navegador (bueno, IE8 tampoco es realmente bueno pero IE6 o 7 son peores) y les da información para actualizar a IE8, o incluso mejor, dales enlaces a navegadores que pueden funcionar mucho mejor en general en XP (como Firefox)
    • Esto no es solo por un aspecto de seguridad, sino también por un aspecto de diseño web. Internet Explorer 8 es el único IE en XP que incluso es compatible de forma remota con los estándares de la web de forma totalmente correcta. Claro, falta mucho, pero es probable que necesites menos hacks específicos de IE en IE8 que en IE6 o 7.
respondido por el My1 30.10.2017 - 11:29
fuente

Lea otras preguntas en las etiquetas