¿TLS_FALLBACK_SCSV en un servidor que solo admite TLSv1 bloqueará una conexión desde un cliente usando TLSv1.2?

2

He leído el borrador del RFC en relación con TLS_FALLBACK_SCSV y entiendo que si el cliente y el servidor implementan esta función y un cliente envía esto como parte de clienthello, el servidor debe rechazar la conexión, si la versión de TLS es más alta que la versión del cliente.

Sin embargo, no me queda claro cuál debe ser la acción correcta, cuando un cliente contiene una versión de TLS más alta que la admitida por el servidor, es decir, el cliente solicita TLSv1.2 pero el servidor solo implementa TLSv1. ¿Debería el servidor en este caso rechazar la conexión, o el cliente y el servidor deberían poder negociar a TLSv1?

¿Podría alguien confirmar que estoy investigando un problema en el que lo anterior sería el caso y el servidor remoto que solo implementa TLSv1 rechaza la conexión del cliente?

    
pregunta Ringo 20.08.2015 - 18:38
fuente

1 respuesta

1

El cliente enviará TLS_FALLBACK_SCSV solo si realiza un protocolo de enlace TLS con una versión rebajada y el servidor solo rechazará una conexión que contenga TLS_FALLBACK_SCSV si puede hacer una mejor versión. Ejemplos:

  • El cliente puede hacer TLS 1.0 y TLS 1.2, es decir, TLS 1.2 es el mejor. El servidor solo admite TLS 1.0. El cliente intentará con TLS 1.2 primero. Por lo general, el servidor responde con TLS 1.0 porque eso es todo lo que admite. Sin embargo, algunos servidores están rotos y fallan completamente el protocolo de enlace, en cuyo caso los navegadores realizan una degradación de la conexión. En este caso, el navegador realiza un protocolo de enlace TLS 1.0, pero configura TLS_FALLBACK_SCSV para indicar que realiza una recuperación. Como el servidor solo hace TLS 1.0, no se quejará sino que aceptará la conexión.
  • En el segundo ejemplo, se usa el mismo cliente pero el servidor también es compatible con TLS 1.2. Un hombre en el medio está sentado entre el cliente y el servidor e interrumpe alguna conexión con la esperanza de forzar una baja de TLS. Después de que la primera conexión TLS 1.2 del cliente se interrumpa y falle, el cliente intentará nuevamente con TLS 1.0 pero establecerá TLS_FALLBACK_SCSV. Esta vez, el atacante dejará pasar la conexión y el servidor recibirá el protocolo de enlace TLS 1.0 que incluye TLS_FALLBACK_SCSV. Como el servidor puede hacerlo mejor que TLS 1.0, rechazará la conexión.
respondido por el Steffen Ullrich 20.08.2015 - 19:11
fuente

Lea otras preguntas en las etiquetas