¿Qué opciones de SSL no deben usarse?

4

¿Qué opciones de SSL deben evitarse, debido a las debilidades descubiertas recientemente? Esto podría incluir algoritmos simétricos o funciones MAC.

    
pregunta sybind 12.04.2013 - 11:45
fuente

3 respuestas

7

Debes evitar las suites de cifrado "débiles":

  • Conjuntos de cifrado sin cifrado (con un NULL en el nombre).
  • Conjuntos de cifrado con claves simétricas de 40 o 56 bits ( DES , DES40 , RC4_40 , RC2_CBC_40 ) ( 3DES está bien, sin embargo).
  • Las suites de cifrado marcadas como "para exportación" (con EXPORT en el nombre: están debilitadas para cumplir con las regulaciones de exportación de EE. UU. anteriores a 2000).
  • Conjuntos de cifrado sin autenticación del servidor ( DH_anon ).

Ningún software sano habilitará estos de forma predeterminada, o en absoluto. Pero es más seguro verificarlo explícitamente ...

Es posible que desee evitar RC4 debido a la mala prensa (todavía se necesitan millones de conexiones con los mismos datos cifrados para alcanzar las debilidades conocidas, que no es un margen de seguridad enorme, pero El ataque no es realmente práctico todavía. Algunas personas desean evitar cifrados basados en CBC porque temen a BEAST, pero ya no funciona . De manera similar, el uso de MD5 en SSL / TLS es seguro, pero la idea de que "MD5 está roto" es tan generalizada que el uso de MD5 tiende a provocar preguntas, justificaciones y un debate interminable. En la práctica, su sistema no se forzará porque usó RC4 o MD5 o AES-CBC o cualquier otro conjunto de cifrado no débil; Estamos en el ámbito de relaciones públicas aquí.

Entre las opciones posibles, debe evitar la compresión a menos que se asegure de que no se aplique a su contexto exacto; esto se debe a que el cifrado oculta los datos contenidos pero no los datos longitud , y la compresión hace que la longitud dependa de los contenidos. En un contexto web (HTTPS), esto se denomina Ataque de CRIMEN .

Si es posible (según el software de su servidor y el certificado del servidor), intente utilizar las suites de cifrado DHE : proporcionan Adelante perfecto Secreto . Dicho de otro modo: si usa un conjunto de cifrado que no es DHE, y algún tipo malo logra robar la clave privada de su servidor, podrá descifrar las conexiones pasadas (conexiones que el atacante observó de forma pasiva, desde El exterior, antes del robo de llave real). PFS se trata de evitar eso. (Pero, por supuesto, PFS o no PFS, es mucho mejor si la clave privada de su servidor no es robada en absoluto).

No use SSL 2.0 . En la práctica, SSL 2.0 todavía ofrece cierta protección decente contra los atacantes pasivos , pero los atacantes activos pueden jugar trucos desagradables. Si su software de cliente y servidor es compatible con SSL 2.0 pero no con SSL 3.0 o TLS (1.0 o posterior), entonces su software tiene más de 15 años y es casi seguro que tiene muchos otros problemas.

    
respondido por el Thomas Pornin 12.04.2013 - 13:02
fuente
3

Además de las respuestas anteriores, uno de los servicios que puede usar es enlace , que probará la configuración de SSL / TLS Y de inmediato te denunciamos de las violaciones. De esta manera, puede auditar rápidamente sus configuraciones rápidamente (a menos que tenga algunos scripts listos para hacerlo).

Nota: No estoy asociado de ninguna manera con SSLLabs.

    
respondido por el Novice User 12.04.2013 - 13:26
fuente
0

La opción RC4 no debe utilizarse.

No solo es viejo (desde 1987, incluso antiguo), sino que también tiene problemas menores de seguridad.

A menudo todavía está habilitado, ya que otros algoritmos (más modernos y más atacados) recientemente recibieron malas noticias. Sin embargo, RC4 es algo predecible y repetidamente (por ejemplo, 20 mil veces) solicitar las mismas páginas web a través de https mostrará patrones, lo que le permitirá comprometer la seguridad.

[Editar] Se agregó enlace al ataque -of-week-rc4-is-kind-kind-broken-in.html

    
respondido por el Hennes 12.04.2013 - 11:56
fuente

Lea otras preguntas en las etiquetas