¿Cuáles son los beneficios y la desventaja de deshabilitar el lado del cliente TLS1.2 (en el navegador)?

Question

¿Cuáles son los beneficios y la desventaja de deshabilitar el lado del cliente TLS1.2 (en el navegador)?

#1 de Matthew (-1 votos)

1

Estamos considerando desactivar TLS1.0 y TLS1.1 en las políticas para un navegador utilizado en toda la organización. Ya tenemos un navegador principal, donde > = TLS1.0 está habilitado (es decir, SSLv3 está deshabilitado). No sabemos si algún sitio usa el usuario, usa

La mejor práctica es usar TLS1.2 y, además, desactivar los cifrados RC4 y 3DES. Solo se refiere a la configuración del servidor web de las suites SSL / TLS-cihper y no al lado del cliente.

¿Cuáles son los beneficios y desventajas de deshabilitar el soporte para el cliente TLS1.0 / TLS1.1? ¿Cómo se asegura aún más el usuario? ¿Podría un atacante por ej. forzar el uso de un cifrado 3DES-TLS1.0 (si el usuario visita una página con esto) o si un ataque como ese solo hace al servidor web vulnerable

web-browser tls cipher-selection ciphers tls-downgrade

pregunta RasmusP_963 16.08.2017 - 12:45

fuente

1 respuesta

Lea otras preguntas en las etiquetas web-browser tls cipher-selection ciphers tls-downgrade

¿Cómo la etiqueta de ancla (a) le permite hacer un XSS reflejado? ¿Se pueden obtener datos forenses de un disco duro cifrado?

score -1 · Answer 1

La gran desventaja para los usuarios en este caso sería que ya no podrían acceder a sitios que no admiten TLSv1.2. Los datos de esos sitios son bastante difíciles de encontrar (encontré una encuesta de 2014 , que encontró información sobre 1/3 sitios admitían TLSv1.2, pero eso es antiguo en términos web), por lo que este podría ser un gran problema, o podría no ser un problema, dependiendo de lo que su personal necesita para acceder.

Algunos de los problemas conocidos con versiones anteriores de TLS son en realidad problemas de implementación con servidores que los admiten. Para aquellos, no hay ningún beneficio directo del cliente para deshabilitar los protocolos.

En términos de evitar el uso de 3DES y otros cifrados débiles, ese es un problema aparte: puede usar 3DES con TLSv1.2, aunque generalmente hay muy poca necesidad de hacerlo, ya que un sistema con soporte para TLSv1.2 apoyará cifrados más fuertes. No tengo conocimiento de un método confiable para rechazar el uso de cifrados específicos desde el lado del cliente.