¿El soporte de SGC reduce la seguridad de HTTPS?

Question

¿El soporte de SGC reduce la seguridad de HTTPS?

#1 de Ilmari Karonen (2 votos)

2

Server Gated Cryptography es una tecnología heredada (implementada por leyes obsoletas) que permite a los navegadores más antiguos establecer una sesión SSL en un cifrado mayor.

Este artículo dice El SGC nunca debe usarse y permite uso malicioso (pirata informático), al mismo tiempo, hay una opinión contradictoria en la parte inferior del artículo.

También noté que algunos sitios aún admiten el cifrado SGC, pero también tienen una calificación "A" de SSL Labs.

¿Es realmente malo soportar el SGC?
¿Qué tiene de especial un certificado SGC o un servidor web que lo hace "funcionar"? Me gustaría entender cómo funciona para poder apagarlo correctamente.

web-browser encryption tls legal export

pregunta random65537 29.06.2012 - 16:20

fuente

1 respuesta

Lea otras preguntas en las etiquetas web-browser encryption tls legal export

¿La fecha en que se cambió la contraseña por última vez es útil para un atacante? ¿Rol de ISP con VPN y VPS?

score 2 · Accepted Answer

El argumento básicamente parece ser que el certificado SGC solo es útil para un puñado de navegadores antiguos, cuyo soporte del proveedor hace tiempo que ha finalizado, y esos navegadores ya contienen muchos agujeros de seguridad que los hacen inseguros independientemente de de qué cifrado se puede o no usar.

Por lo tanto, permitir que los usuarios establezcan una conexión HTTPS a su sitio utilizando uno de esos navegadores antiguos solo está creando una ilusión de seguridad. El usuario podría pensar que está seguro porque está usando HTTPS, pero de hecho, su navegador está casi infestado de malware que podría estar registrando todo lo que hacen, con HTTPS o no.

Si le importa la seguridad de sus usuarios, lo único que debe enviar a esos navegadores es una advertencia de seguridad y una solicitud de actualización. Si no se preocupa por la seguridad, bueno, ¿por qué se molesta con HTTPS en primer lugar?

Dicho todo esto, no parece haber ningún defecto de seguridad intrínseco en los certificados SGC; funcionan bien, siempre que esté usando un navegador moderno y seguro. Simplemente no son realmente necesarios para ningún navegador de este tipo.