TLS 1.0 parece ser vulnerable a Bestia , Lucky13 y tal vez otros ataques y simplemente está desactualizado. Solución común utilizada, por ejemplo, Google usó RC4, que también se rompió recientemente, pero ninguno de los principales navegadores parece estar implementando una versión más nueva de TLS, excepto Microsoft IE para las versiones más nuevas de Windows.
¿Hay alguna razón por la que ha habido tan poco movimiento?
Edite: casi la misma pregunta . ¿Por qué estaba cerrado? Mystery on stackexchange.
Versiones TLS compatibles en 2011-09-22
¿Me parece correcto que para evitar problemas con TLS 1.0 tiene que prohibir esto? Esto puede llevar tiempo.
Haré un mal uso de mis preguntas para responder a Thomas Pornin porque esto no encaja en el comentario.
Como de costumbre, escribes muchas letras :)
"La rotura de RC4 sigue siendo" académica "
¿Recuerdas la historia de WEP? 2001, solo ciertos patrones clave eran vulnerables, que podían excluirse sin cambiar el protocolo, 2004 ya no era así y en 2007 solo bastaban 40.000 paquetes. Los ataques nunca empeoran, solo que mejor. Y en la vida real, todas las actualizaciones necesitan tiempo, pasarán años hasta que se actualicen todos los servidores, aunque no es tanto como en los enrutadores de Soho. ¿Puedes predecir con probabilidad confiable cuándo se volverá realista? Acerca de las soluciones, ¿son compatibles con versiones anteriores? ¿Cuánto tiempo durarán? ¿No es más fácil usar la versión más reciente de TLS?
La actualización del soporte de cliente a TLS 1.2 no cambiará nada hasta que la mayoría de los servidores también se actualicen.
Así que las actualizaciones necesitan tiempo, antes comenzaremos, antes se hará.
comparación con IPv6
Bueno, con IPv4 puede predecir cuándo está fuera de IP. Esto depende de gran parte del país; aquellos que fueron los primeros en Internet generalmente no tienen problemas :) Los que no tienen IP avanzan en IPv6, como China.
En la práctica, varios navegadores ampliamente utilizados dependen del código SSL / TLS del sistema operativo subyacente
¿Cuáles O_o? Pensé que solo IE hace esto, a quién le importa sin un Bloqueo de anuncios activo.