¿Está la barra verde del certificado EV (Validación extendida) afectada por las suites de cifrado disponibles?

Question

¿Está la barra verde del certificado EV (Validación extendida) afectada por las suites de cifrado disponibles?

#1 de Steffen Ullrich (2 votos)

0

Me pregunto si Cipher Suites afectará la 'barra verde' del Certificado de Validación Extendida (EV) en el navegador web. No encuentro una referencia que diga que, aparte de esta respuesta . Aunque me parece extraño que uno de los sitios web que tienen el Certificado EV se muestre correctamente en verde en el Navegador móvil, mientras que el otro no.

El sitio web que tiene una barra verde tiene los siguientes conjuntos de cifrado:

            PORT    STATE SERVICE REASON
            443/tcp open  https   syn-ack ttl 117
            | ssl-enum-ciphers: 
            |   TLSv1.0: 
            |     ciphers: 
            |       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
            |       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
            |       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - A
            |       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
            |       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
            |       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A
            |     compressors: 
            |       NULL
            |     cipher preference: server
            |   TLSv1.1: 
            |     ciphers: 
            |       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
            |       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
            |       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - A
            |       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
            |       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
            |       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A
            |     compressors: 
            |       NULL
            |     cipher preference: server
            |   TLSv1.2: 
            |     ciphers: 
            |       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
            |       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
            |       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
            |       TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
            |       TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
            |       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
            |       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - A
            |       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
            |       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
            |       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
            |       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
            |       TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
            |       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
            |       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A
            |     compressors: 
            |       NULL
            |     cipher preference: server
            |_  least strength: A

Mientras que los otros solo tienen estos:

            PORT    STATE SERVICE REASON
            443/tcp open  https   syn-ack ttl 119
            | ssl-enum-ciphers: 
            |   TLSv1.2: 
            |     ciphers: 
            |       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
            |       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
            |       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
            |       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
            |     compressors: 
            |       NULL
            |     cipher preference: server
            |_  least strength: A

La comprobación del cifrado se realiza utilizando NMap. Mi pregunta es si la selección de la suite de cifrado afecta la "barra verde" en el navegador web o quizás algo más en juego. Gracias.

tls certificates ciphers

pregunta Bagus Tesa 26.10.2017 - 04:11

fuente

1 respuesta

Lea otras preguntas en las etiquetas tls certificates ciphers

¿Por qué es malo abrir puertos para cámaras IP? ¿Cómo soluciona esto una VPN? Vulnerabilidades de la aplicación web [cerrado]

score 2 · Accepted Answer

¿La barra verde del certificado EV (Extended Validation) se ve afectada por las suites de cifrado disponibles?

No, no lo es. Lo que tiene aquí es un problema diferente causado por una configuración inconsistente del sitio en cuestión. Los detalles siguen a continuación.

Según sus comentarios sobre los nombres de dominio en el chat, he comprobado el sitio en cuestión con diferentes sistemas y muestra un comportamiento inconsistente: en algunos sistemas devuelve un certificado no EV emitido por "GlobalSign Organization Validation CA - SHA256 - G2 "y en otros sistemas un certificado EV emitido por" GlobalSign Extended Validation CA - SHA256 - G3 ".

Al observar la diferencia de estos sistemas, me di cuenta de que mi versión móvil estaba usando IPv6 mientras que mi computadora de escritorio estaba usando IPv4 para acceder al sitio. Y, de hecho, al consultar el informe de este dominio en SSLLabs , obtendrá una dirección IPv4 e IPv6 para este sitio. donde la dirección IPv4 sirve el certificado EV mientras que la dirección IPv6 sirve el certificado no EV.

Uno puede reproducir esto en un sistema habilitado para IPv6 con nmap. Para IPv4:

$ nmap -p443 -script=ssl-cert your.hostname.here 
...
| Issuer: commonName=GlobalSign Extended Validation CA - SHA256 - G3/organizationName=GlobalSign nv-sa/countryName=BE

Mientras que con IPv6:

$ nmap -6 -p443 -script=ssl-cert your.hostname.here 
...
| Issuer: commonName=GlobalSign Organization Validation CA - SHA256 - G2/organizationName=GlobalSign nv-sa/countryName=BE

En resumen: la barra verde es correcta porque el sitio no sirve un certificado EV para el sistema móvil que usa IPv6, pero sirve el certificado EV solo cuando se accede con IPv4.