¿Es una empresa de hosting la correcta para deshabilitar a todos menos TLS 1.2 como protocolos aceptables para hacer SSL con?

Navega tus respuestas
4

He recibido algunas quejas de los visitantes a un sitio que administro que no pueden conectarse a su sitio web debido a la configuración TLS de su navegador. Cuando se verificó, los dispositivos en cuestión se configuraron para ejecutar TLS 1.1.

  • ¿Es común que los clientes no tengan TLS 1.2 o lo tengan desactivado en 2017?
  • ¿Se puede configurar un servidor web LAMP para manejar TLS 1.1, además de ofrecer el 1.2 más seguro?

Estoy considerando cambiar de proveedor de alojamiento que es más compatible.

    
pregunta oli2020 11.10.2017 - 21:13
fuente

2 respuestas

2
¿Es común que los clientes no tengan TLS 1.2 o lo tengan desactivado en 2017?

Para versiones anteriores de Internet Explorer (8,9,10 en Windows 7), sí de acuerdo con esto: enlace

Lamentablemente, estas versiones anteriores de IE son relativamente comunes, por lo que el proveedor de alojamiento puede ser un poco demasiado agresivo en su política.

¿Se puede parchar un servidor web LAMP para manejar 1.1 TLS, además de ofrecer el 1.2 más seguro?

Todas las cosas son posibles si tienes suficiente control. Parece que está utilizando un entorno compartido en lugar de un servidor dedicado. En un entorno compartido, generalmente no obtendrás el nivel de control que deseas.

Antes de cambiar a un entorno dedicado, debes entender que es un arma de doble filo. Un entorno de alojamiento gestionado significa que el proveedor de alojamiento gestiona todo, incluidos los problemas de seguridad. Un servidor dedicado normalmente significa que USTED tiene que hacer esto.

    
respondido por el Steve Sether 11.10.2017 - 21:58
fuente
3
  

¿Es común que los clientes no tengan TLS 1.2 o estén deshabilitados en 2017?

Todos los clientes TLS modernos soportan TLS 1.2. No es tan común que un cliente admita TLS 1.1 pero no TLS 1.2 porque la mayoría de las pilas TLS principales como OpenSSL (Unix, Android), SChannel (Windows) o NSS (Firefox, Chrome más antiguo) comenzaron a admitir TLS 1.1 y TLS 1.2 aproximadamente al mismo tiempo. Una razón para esto es que TLS 1.1 fue estandarizado 2006 y TLS 1.2 2008, es decir, poco después y la mayoría de las pilas TLS no comenzaron a admitir ninguno de estos protocolos hasta 2012..2014, por lo que luego implementaron ambos al mismo tiempo.

Todavía es común que algunos clientes no admitan TLS 1.1 ni TLS 1.2 (Android más antiguo, Windows más antiguo), pero es poco común que sea compatible con TLS 1.1 y no con TLS 1.2.

en el lado del servidor, la mayoría de los sitios ofrecen TLS 1.0, TLS 1.1 y TLS 1.2, mientras que algunos sitios con mayores requisitos de seguridad (como la API de pago de Paypal) requieren al menos TLS 1.2.

  

¿Se puede parchar un servidor web LAMP para manejar 1.1 TLS, además de ofrecer el 1.2 más seguro?

Si tiene el control total del servidor (que generalmente requiere una raíz en el sistema), debería poder habilitar TLS 1.0 y TLS 1.1 y también solo TLS 1.1 junto con TLS 1.2. Si no tiene el control total y solo comparte el mismo servidor web con otros usuarios, no puede hacer esto.

    
respondido por el Steffen Ullrich 11.10.2017 - 21:26
fuente

Lea otras preguntas en las etiquetas

Se pueden robar datos de la RAM en uso Mejor seguridad: ID de sesión en cookies vs. cookie encriptada