Primero, puedo estar haciendo una pregunta tonta. Estoy tratando de aprender, así que por favor, tómatelo con calma.
Segundo, si este no es el lugar adecuado para esta pregunta, o puede vincularme a otra parte, dígame / hágalo.
Tercero, aprecio a cualquiera que se tome el tiempo para responder.
Dicho esto, estoy utilizando un programa de escritorio (como cliente) que transmite información en tiempo real y también contiene datos confidenciales, como valores de cuenta y números de cuenta. No retiene ni transmite información de la tarjeta de crédito.
Ocasionalmente ejecuto Wireshark y noté que este programa completa su protocolo de enlace con TLSv1.0 con el conjunto de cifrado TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA. Parece que no entiendo por qué esto estaría considerando lo que entiendo sobre TLSv1.0 y CBC (pero nota arriba, soy nuevo en esto). ¿Es esto, de alguna manera, apropiado debido a que su intercambio de claves es ECDHE y el cifrado de cifrado de AES 256?
Sé que esto no es compatible con PCI-DSS y sé que muchos proveedores se han alejado completamente de TLSv1.0, ya que están completamente deshabilitados. Solo puedo pensar que la razón de esto es porque el propietario del programa no quiere dejar fuera a los clientes que pueden estar usando sistemas operativos antiguos que no tienen suites de cifrado más nuevas, pero podría estar equivocado en mi comprensión de esto. Las especificaciones recomendadas por el propietario para el sistema operativo son Windows 10, pero no ven ningún problema en cuanto a por qué no funcionaría en versiones anteriores del sistema operativo, incluida posiblemente Vista.
Obviamente estoy siendo tímido acerca del programa ya que realmente no tengo idea de si esto representa algún riesgo. Como soy novato, sospecho que los que están a cargo del programa tienen una razón válida para usar esta versión de TLS / Cipher Suite, pero pensé que lo preguntaría.
Gracias por tomarse el tiempo de leer.
editar: olvidé mencionar- Método de compresión: null (0) - He leído que esto debería establecerse en nulo, en caso de que esto importe.