¿Pueden los navegadores conectar HTTPS con el cifrado NINGUNO?

4

Encontré una mención de que el cifrado NONE es posible / está disponible para HTTPS.

¿Es compatible con los navegadores para acceder a sitios web a través del esquema de dirección https:// ?

(¿Qué sería un fragmento para crear un servidor de prueba / único https con el cifrado NONE ?)

    
pregunta cnst 31.01.2016 - 23:22
fuente

3 respuestas

4
  

¿Es compatible con los navegadores para acceder a sitios web a través del esquema de direcciones https: //?

Creo que te estás refiriendo a TLS_NULL_WITH_NULL_NULL o sistemas de cifrado similares donde no se realiza el cifrado. Ninguno de los navegadores actuales ofrece este cifrado y no creo que haya una razón en el futuro para ofrecer tales cifrados más débiles, ya que solo obtendría la sobrecarga de TLS sin obtener ninguna seguridad.

En cuanto a TLS_NULL_WITH_NULL_NULL específicamente el RFC 5246 (TLS 1.2) indica que es solo la inicial Estado y nunca debe ser negociado. Hay otros sistemas de cifrado con cifrado NULL como TLS_RSA_WITH_NULL_SHA que todavía ofrecen autenticación, pero como no lo hacen, es poco probable que los navegadores los ofrezcan.

Para obtener más información sobre los sistemas de cifrado que ofrecen los distintos clientes SSL, consulte enlace .

    
respondido por el Steffen Ullrich 31.01.2016 - 23:31
fuente
1

Este es un subconjunto de la negociación del conjunto de cifrado TLS (o SSL, para configuraciones realmente desactualizadas). Entro en más detalles en Mi respuesta a los ssl_ciphers recomendados para seguridad, compatibilidad - Secreto directo perfecto , pero el largo y a falta de eso está:

Por el documento TLS 1.2 RFC 5246 a partir de la sección 7.4.1.2 para ver, en forma corta , la negociación de la suite de cifrado:

  • ClientHello: el cliente le dice al servidor qué conjuntos de cifrado admite el cliente
  • Ahora el servidor escoge uno
    • ¡Discutiré cómo controlar cuál elige a continuación!
  • ServerHello: el servidor le dice al cliente qué conjunto de cifrado ha elegido, o le da un mensaje de error al cliente.

Por lo tanto, TANTO el cliente Y el servidor tendrían que permitir el mismo conjunto de cifrado NULL para que sea posible, e incluso si ambos lo permiten, tendría que ser el que el servidor elija. Esto sería un escenario horriblemente malo; incluso las peores fallas normales en ssllabs.com (lista a la derecha, busque particularmente las F's) no se ponen tan mal, aunque son vulnerables a casi todo lo demás bajo el sol.

Para su prueba, cree su propio servidor y coloque el conjunto de cifrado NULL que prefiera como la única opción. Luego use openssl en modo cliente o un navegador que admita ese conjunto de cifrado NULL para probarlo.

    
respondido por el Anti-weakpasswords 31.01.2016 - 23:51
fuente
1

NINGUNO cifrado puede estar disponible en la ópera 12. Está deshabilitado de forma predeterminada. Parece que hay TLS_RSA_NULL_SHA y SHA2, solo he probado sha. Para el servidor de prueba, usé openssl s_server, también requiere alguna configuración especial (el cifrado NULL no está habilitado de forma predeterminada). Incluso, cuando la conexión se realizó correctamente, hubo una advertencia de seguridad en el navegador. openssl utilizado fue 1.0.1, que es antiguo. La línea de comando era: openssl s_server -www -cert [cert] -key [key] -cipher NULL-SHA

    
respondido por el yyy 01.02.2016 - 09:59
fuente

Lea otras preguntas en las etiquetas