¿Desactivar la reanudación / renegociación mitigaría el problema del triple saludo de manos?

Navega tus respuestas
1

El Triple Handshake Issue se dio a conocer últimamente. Según tengo entendido, depende en gran medida de la renegociación y la reanudación.

Entonces, la pregunta simple es: ¿Deshabilitar la reanudación y / o la renegociación mitigaría este problema?

En más detalles:

La renegociación parece ser bastante segura, y solo hay un problema con la presentación de nuevos certificados. Los autores recomiendan encarecidamente revisar cuidadosamente el certificado recién presentado. Así que arreglar esto permitiría mantener la renegociación.

La reanudación parece ser bastante insegura. Por lo tanto, hasta que se implementa una solución a largo plazo, parece ser mejor deshabilitarla por completo. ¿Esto es correcto?

Soy consciente de que deshabilitar la reanudación tendrá un impacto en el rendimiento. Para mis escenarios actuales, esto no es relevante (sesiones TLS de larga duración). Si alguien todavía desea más detalles, no dude.

    
pregunta Elrond 13.03.2014 - 12:35
fuente

2 respuestas

1

Si no hay reanudación, está claro que este ataque no puede existir, sin embargo, la reanudación es una función muy importante y atractiva de TLS, ya que puede reducir la latencia de manera efectiva. Por lo tanto, es posible que TLS 1.3 no admita la renegociación en lugar de reanudarse.

    
respondido por el xinyu 09.06.2015 - 03:34
fuente
1

A mi entender, el punto principal del ataque es que la parte del navegador responsable de verificar la Política de Same Origin cree que está conectada al host A, mientras que la parte responsable del envío del certificado de cliente apropiado cree que está conectada a host B porque obtuvo el certificado para este host en la renegociación. De esta manera, el navegador permitirá que el script, etc. del host A, acceda a los datos autorizados del host B, porque cree que son de A.

Si deshabilita la renegociación, este ataque ya no funcionará, incluso si la reanudación de la sesión aún está habilitada. Pero, si realmente necesita una renegociación, debe desactivar la reanudación de la sesión para que el ataque no funcione.

    
respondido por el Steffen Ullrich 13.03.2014 - 22:22
fuente

Lea otras preguntas en las etiquetas

¿Sobrecarga de tamaño de zona DNS? Scripts firmados digitalmente como una forma de frustrar XSS