¿Por qué los clientes ofrecen el protocolo de enlace con protocolo SSL 2.0?

11

Según el libro, Fundamentos del centro de datos, página 369, se agregó soporte SSLv3 en Netscape 2.xy Internet Explorer 3.x, y TLS se agregó en Netscape 4.xy Internet Explorer 4.x.

Estoy escuchando el enrutador en mi empresa (tengo un archivo pcap de 200 mb con solo una conexión https) y estos clientes antiguos no existen en las computadoras de la empresa, pero observo que algunas de las solicitudes de saludo del cliente están en formato SSLv2. Por lo tanto, la única razón por la que un cliente envía un mensaje de bienvenida al cliente en formato SSLv2 es la compatibilidad con servidores que no admiten las nuevas versiones de ssl. Este problema de compatibilidad se indica en enlace .

No pude entender cuando el cliente envió "hola cliente" en v2 para compatibilidad. ¿Cómo decide el cliente que debe enviar v2 al cliente o cómo decide que debe enviar v3.1, por ejemplo?

    
pregunta Kadir Erdem Demir 25.04.2013 - 10:08
fuente

1 respuesta

13

Un cliente envía un SSLv2 ClientHello cuando está listo para usar SSLv2, y supone que el servidor puede ser un servidor solo SSLv2. En la práctica, un cliente dado siempre enviará un SSLv2 ClientHello , o nunca : el cliente no puede saber qué admite un servidor específico hasta que realmente ha hablado con él, por lo que es una opción de configuración de todo o nada.

Los navegadores modernos son de la "nunca" persuasión; algunos no son compatibles con SSLv2 (SSLv2 está oficialmente obsoleto ; su compatibilidad se ha eliminado de OpenSSL , por lo que el servidor web que use Apache + OpenSSL pronto lo admitirá). Pero las versiones anteriores del navegador podían usar SSLv2, y algunos estaban enviando SSLv2 ClientHello por defecto (creo que IE 6.0 hizo eso).

Tenga en cuenta que un servidor puede entender el formato SSLv2 ClientHello y aún no es compatible con SSLv2 (es decir, el servidor acepta el ClientHello solo si declara internamente que el cliente también conoce SSL 3.0 o TLS).

Dado que el formato SSLv2 ClientHello es incompatible con extensiones como Indicación del nombre del servidor (no hay espacio para extensiones en ese formato), y como para un cliente no tiene sentido enviar un ClientHello a menos que esté listo para realizar una conexión completa en SSLv2, podemos asumir que la característica SSLv2 ClientHello Desaparecerá en el futuro ... pero aún no hemos llegado.

    
respondido por el Thomas Pornin 25.04.2013 - 13:10
fuente

Lea otras preguntas en las etiquetas