¿Cuál es la diferencia entre SSLv3 en desuso y SSLv2 siendo prohibido?

2

He estado trabajando en algunos documentos de seguridad para una base de datos en el trabajo: una guía rápida sobre cómo crear una conexión JDBC a través de TLS para esto. Los documentos que mencioné indican que, si bien admite SSLv2, SSLv3 y TLSv1, no se recomienda SSL. No tengo ningún problema en agregar esto a la guía o enlazar a las RFC relevantes, pero no estoy muy seguro del idioma que usan las RFC.

  • RFC 6176 prohíbe el uso de SSLv2, que interpreto como "No use esto. Simplemente ... no. "
  • RFC 7658 en desuso SSLv3; Mi interpretación de esto es "No uses esto, a menos que realmente necesites".

Ambas RFC establecen que su versión de SSL no debe ser utilizada . Entonces, ¿son correctas mis interpretaciones de esto? Si no, ¿cuál es la diferencia?

    
pregunta Philip Rowlands 27.07.2016 - 09:57
fuente

1 respuesta

6

Ambos documentos pretenden prohibir el uso del protocolo respectivo y utilizar el mismo RFC 2119 como referencia para la terminología.

RFC 7658 (el titulado "Deprecating ...") dice específicamente:

  
  1. Consideraciones de seguridad

         

    Este documento completo tiene como objetivo mejorar la seguridad al prohibir el uso de un protocolo que no es seguro.

  2.   

Ambos documentos fueron escritos en diferentes tiempos, por equipos diferentes y ambos están clasificados como "estándar propuesto". Además, los títulos de RFC no parecen estar estandarizados y ningún documento BCP de IETF menciona cómo deberían formarse los títulos.

Los documentos deben considerarse en su totalidad y su interpretación y aplicación deben extenderse más allá de sus títulos.

    
respondido por el techraf 27.07.2016 - 10:20
fuente

Lea otras preguntas en las etiquetas