En estos días observamos la tendencia a usar HTTP sobre TLS (HTTPS) para todas las comunicaciones. Recomienda a todos los proveedores de servicios de Internet de gran peso y eso pretende ser una buena práctica. Pero la suite TLS tiene 3 opciones para diferentes propósitos:
- Verificación del certificado para garantizar la autoridad del servidor.
- La verificación de hash para asegurar que el paquete HTTP no esté dañado por el equipo de red, Man-in-the-Middle, ISP, etc.
- Cifre los datos para ocultarlos de la lectura para Man-in-the-Middle.
Las dos primeras opciones tienen sentido para todas las conexiones de tipo. Pero la tercera tiene sentido solo para datos sensibles. Supongamos que el usuario abre un sitio público de relaciones públicas o una biblioteca pública. ¿Qué sentido tiene la sobrecarga de cifrado para esos datos? La misma situación con la compresión TLS y la compresión HTTP regular en el canal TLS. La compresión está en desuso debido a la vulnerabilidad de los ataques cifrados y de violación de los datos cifrados y que se puede usar para datos públicos.
Al mismo tiempo, los navegadores comunes no admiten el cifrado NULL. Puede asegurarse en la prueba ssllabs.com
Revisé Chrome / 54.0.2840.100 y Firefox / 49.0 y ambos no son compatibles con TLS_RSA_WITH_NULL_SHA o similar