¿Qué es el "Hola Unificado Multi-Protocolo" y cuáles son los impactos de deshabilitarlo / habilitarlo?

4

Este artículo describe cómo deshabilite las versiones anteriores de TLS, pero además de hacerlo, también se deshabilita "Hola Unificado Multi-Protocolo".

# Disable Multi-Protocol Unified Hello
md 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Server' -Force
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Server' -name Enabled -value 0 -PropertyType 'DWord' -Force

Busqué ese término y no vi nada más que otras ediciones del registro que lo deshabilitaron.

¿Qué es el saludo de protocolo múltiple y por qué / cuándo alguien debería desactivarlo / habilitarlo?

    
pregunta random65537 05.06.2014 - 19:41
fuente

1 respuesta

2

No es seguro, pero dado el contexto y la inclinación de MS por los nombres blandos, podría ser una compatibilidad SSLv2 / posterior.

Cuando SSLv3 salió (hace mucho tiempo) usaba un formato de mensaje diferente al de SSLv2, y el envío de ClientHello v3 a un servidor v2 no funcionaba en absoluto. En lugar de eso, era una práctica común enviar un formato ClientHello con indicadores que indiquen que el cliente preferiría el protocolo v3 y los cifrados. Un servidor compatible con v3 podría responder con v3 ServerHello y luego v3 continuaría; un servidor solo v2 ignoraría los indicadores v3, respondería en v2 y continuaría v2. TLS 1, 1.1 y 1.2 (numerado internamente como SSL 3.1, 3.2, 3.3) mantuvo el formato del mensaje lo suficientemente cerca como para que esto siguiera funcionando, en su mayoría, así como la negociación entre los protocolos v3 y posteriores. OpenSSL llamó a este 'método SSLv23' y se mantuvo como predeterminado hasta hace aproximadamente 2 años, cuando cambiaron a la versión v3 y solo; Java lo llamó 'SSLv2Hello' pero en realidad no aceptaría la selección de v2.

El uso de SSLv2 ha sido una mala elección durante mucho tiempo, y el RFC 6176 en 2011 finalmente lo 'prohibió' oficialmente, pero algún software (¿mucho?) todavía lo apoya con una combinación de let-sleeping-dogs-lie y en caso de que nunca lo sepas, y apostaría a que incluye SCHANNEL, por lo que tomar medidas para deshabilitar esos remanentes de v2 es probablemente algo bueno.

    
respondido por el dave_thompson_085 08.06.2014 - 13:14
fuente

Lea otras preguntas en las etiquetas