Google Chrome dice "Su conexión a example.com se cifra mediante un conjunto de cifrado obsoleto".

13

Obtengo la siguiente información cuando hago clic en el ícono de candado en la barra de direcciones:

Tengounpardepreguntas:

Q1.¿Cuálessonlaspreocupacionesdeseguridadaquí?

Q2.Inclusodespuésdelmensajede'trajedecifradoobsoleto',ChromepuedeestablecerunaconexiónprivadayveounbloqueoVERDE,¿cómoloestáhaciendo?

Veootrapregunta aquí en Sec .SE que habla sobre 'Criptografía obsoleta', pero tengo diferentes problemas.

Nota: example.com es solo un ejemplo, no un host real.

    
pregunta dev gr 30.03.2016 - 09:23
fuente

2 respuestas

13

Bien, aquí vamos:

Pregunta 1

  • TLS 1.0 no es del todo perfecto. Consulte las respuestas a esta pregunta para más detalles.
  • 3DES es algo extraño en estos días, pero todavía está bien , sin embargo, está deprimido por AES.
  • el uso de RSA como un mecanismo de intercambio de claves no proporciona confidencialidad hacia adelante .
  • el uso de SHA1 está bien ahora mismo, pero se espera que se rompa en cualquier momento, por lo tanto, ya existe la familia SHA2 disponible desde hace bastante tiempo.

Pregunta 2

Bueno, los desarrolladores de Chrome eligieron aceptar esto y mostrar un candado verde en lugar de uno amarillo (conexión establecida con advertencias) por ahora, ya que de otra manera muchos sitios (bancos, por ejemplo) no mostrarían el candado verde .

Aunque usar esa combinación exacta no es lo ideal, aún es capaz de establecer una conexión, verificar que la máquina remota y los datos intercambiados sean razonablemente seguros (por ahora, al menos, consulte el enlace de confidencialidad anterior).

En cuanto a cómo se establece esto: hay un apretón de manos entre el navegador y el servidor, acordando un conjunto de cifrado específico. Su navegador y ese servidor estuvieron de acuerdo con este (ya que es posible que ninguno de los dos sea compatible), incluso si no es la mejor opción. Consulte Cómo funciona TLS para obtener una buena cobertura al respecto.

    
respondido por el Tobi Nary 30.03.2016 - 10:44
fuente
3

No soy un experto en criptografía, pero si mi comprensión es correcta, las consecuencias de lo que está viendo son breves, como sigue:

De hecho, su conexión está encriptada y, como tal, debería ser más segura que la encriptación no . Alguien que esté olfateando su red o observando su tráfico, en teoría solo debería ver datos encriptados.

Dicho esto, la implementación del cifrado que se usa para esta conexión en particular está desactualizada y podría tener debilidades. ¿Por qué está pasando esto? No estoy seguro. Quizás porque el servidor al que se está conectando o su navegador solo es compatible con TLS 1.0. Esto es un poco interesante en sí mismo, si el nombre de dominio es correcto (example.com). Cuando voy a enlace yo mismo, puedo verlo utilizando TLS 1.2 en mi navegador.

podría en teoría ser el resultado de algún tipo de ataque, lo que obliga a su navegador a usar un estándar de cifrado más antiguo, a fin de poder explotar vulnerabilidades que se han corregido en estándares más nuevos, pero sería muy cuidadoso a la hora de sacar conclusiones (asumiendo que usted es más o menos un usuario promedio y no un objetivo particularmente interesante por cualquier razón).

En cualquier caso, volver a TLS 1.0 podría, en teoría, abrirte a varios ataques. Entonces, ¿cómo puedes asegurarte contra esto? La forma más fácil es, probablemente, simplemente deshabilitar versiones anteriores de TLS en su navegador .

    
respondido por el Kjartan 30.03.2016 - 10:59
fuente

Lea otras preguntas en las etiquetas