¿Qué era SSL 1.0?

15

¿Qué era SSL 1.0?

SSL 2.0 y 3.0 son bien conocidos y están bien documentados. Pero, ¿cómo era el protocolo SSL 1.0? Wikipedia dice hubo un SSL 1.0 pero no dice nada sobre cómo funcionó . ¿Por qué se reemplazó / reemplazó SSL 1.0? ¿Tenía fallas de seguridad? Si es así, ¿cuáles fueron?

    
pregunta D.W. 02.09.2013 - 03:50
fuente

4 respuestas

10

Una cita de SSL y TLS: Teoría y práctica - Rolf Oppliger dice:

  

Netscape Communications comenzó a desarrollar el protocolo SSL poco después de que el Centro Nacional para Aplicaciones de Supercomputación (NCSA) lanzara Mosaic 1.0, el primer navegador web popular, en 1993. Ocho meses después, a mediados de 1994, Netscape Communications ya completado el diseño para SSL versión 1 (SSL 1.0). Esta versión circuló solo internamente (es decir, dentro de Netscape Communications), ya que tenía varios defectos y fallas. Por ejemplo, no proporcionó protección de integridad de datos. En combinación con el uso del cifrado de secuencia RC4 para el cifrado de datos, esto permitió a un adversario realizar cambios predecibles en los mensajes de texto sin formato. Además, SSL 1.0 no usaba números de secuencia, por lo que era vulnerable a los ataques de repetición. Más adelante, los diseñadores de SSL 1.0 agregaron números de secuencia y sumas de comprobación, pero aún utilizaron una verificación de redundancia cíclica (CRC) demasiado simple en lugar de una función hash criptográficamente fuerte que es unidireccional y resistente a colisiones.

     

Este y algunos otros problemas tuvieron que resolverse y, a fines de 1994, Netscape Communications presentó la versión 2 (SSL 2.0) de SSL.

    
respondido por el dr jimbob 02.09.2013 - 08:19
fuente
5

Phillip Hallam-Baker ha escrito:

  

La historia real de SSL fue que   SSL 1.0 fue tan malo que Alan Schiffman y yo lo rompimos en diez minutos   cuando Marc Andressen lo presentó en la reunión del MIT.

enlace

Sin embargo, no hay más detalles sobre cuáles fueron exactamente las fallas.

    
respondido por el D.W. 06.10.2013 - 09:28
fuente
1

SSL 1.0 - > Alrededor de 1994 con Mosaic, fue arrojado a la basura un año más tarde por el ssl 2.0. por lo tanto, ssl 1.0 fue el primer borrador, sin ningún RFC, muy centrado en mosaicos.

respondido por el that guy from over there 02.09.2013 - 08:07
fuente
-2

Lamentablemente, SSLv1 aún no está muerto. OpenSSL aún admite v1 para certificados raíz, por ejemplo, en codigo%. Advertencia, comentario de miedo por delante!

static int check_ca(const X509 *x)
{
        /* keyUsage if present should allow cert signing */
        if(ku_reject(x, KU_KEY_CERT_SIGN)) return 0;
        if(x->ex_flags & EXFLAG_BCONS) {
                if(x->ex_flags & EXFLAG_CA) return 1;
                /* If basicConstraints says not a CA then say so */
                else return 0;
        } else {
                /* we support V1 roots for...  uh, I don't really know why. */
                if((x->ex_flags & V1_ROOT) == V1_ROOT) return 3;
                /* If key usage present it must have certSign so tolerate it */
                else if (x->ex_flags & EXFLAG_KUSAGE) return 4;
                /* Older certificates could have Netscape-specific CA types */
                else if (x->ex_flags & EXFLAG_NSCERT
                         && x->ex_nscert & NS_ANY_CA) return 5;
                /* can this still be regarded a CA certificate?  I doubt it */
                return 0;
        }
}
    
respondido por el Christian Heimes 03.09.2013 - 19:56
fuente

Lea otras preguntas en las etiquetas