Ataque de bestias y prueba SSL de Qualys

0

Si un servidor soporta

|   SSLv3: No supported ciphers found
|   TLSv1.0: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA - strong
|     compressors: 
|       NULL
|   TLSv1.2: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 - strong
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - strong
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA256 - strong
|       TLS_RSA_WITH_AES_256_GCM_SHA384 - strong
|     compressors: 
|       NULL

La prueba de Qualys ssl obtiene A y no dice que sea vulnerable a un ataque de bestia, sin embargo, CBC y TLS1.0 si sé si correctamente deberían hacerlo atacable de bestia.

Mi entendimiento es incorrecto o ssltest en ssllabs no lo informa.

    
pregunta Jigar Joshi 26.06.2015 - 23:24
fuente

1 respuesta

2

Los laboratorios SSL ya no penalizan esto

En un blog post con fecha 2013-09-10 El líder del proyecto SSL Labs, Ivan Ristic, dijo:

  

Ayer cambié los criterios de calificación de los Laboratorios SSL para dejar de penalizar a los sitios que no implementan mitigaciones del lado del servidor para el ataque BEAST. Eso significa que ahora consideramos este ataque lo suficientemente mitigado del lado del cliente, [...]

Details/Timeline

  • 2011-08-23 BEAST se revela
  • 2013-02-07, SSL Labs: La vulnerabilidad al ataque BEAST limita el grado en B.
  • 2013-09-09, SSL Labs: se eliminó el límite de calificación.

El historial de versiones de SSL Labs se toma de su Guía de clasificación de servidores SSL PDF.

    
respondido por el StackzOfZtuff 27.06.2015 - 07:32
fuente

Lea otras preguntas en las etiquetas