soporte RC4 en la configuración SSL

Navega tus respuestas
0

GitHub recientemente mejoró su configuración SSL eliminando el soporte RC4:

  

Para mantener a GitHub lo más seguro posible para cada usuario, eliminaremos la compatibilidad con RC4 en nuestra configuración SSL en github.com y en GitHub API el 5 de enero de 2015.

     

RC4 tiene una serie de debilidades criptográficas que pueden ser explotadas, lo que afecta la seguridad de sus datos. Más detalles sobre estas vulnerabilidades se encuentran en borrador actual de IETF .

     

Si está utilizando Internet Explorer en Windows XP, ya no podrá acceder a github.com una vez que se produzca este cambio. Windows XP solo admite cifrados SSL obsoletos, ya no es compatible con Microsoft y contiene un problema de seguridad crítico conocido / a> en su implementación SSL.

Dado que esto rompe el sitio en Internet Explorer en Windows XP, asumo que los sitios que son accesibles con IE en Windows XP deben ser compatibles con los cifrados RC4.

¿Esto significa que esos sitios no son tan seguros como sea posible?

    
pregunta rink.attendant.6 10.01.2015 - 09:46
fuente

2 respuestas

2

Solo hay una forma de hacer que un sitio sea lo más seguro posible: desconectarlo completamente. Todo lo demás es un compromiso: qué navegadores y clientes desea permitir que ingresen a su sitio.

Incluso GitHub no es tan seguro como sea posible. Permiten TLS 1.0 y TLS 1.1 mientras hay un TLS 1.2 más nuevo. Sin embargo, deshabilitar TLS 1.0 y TLS 1.1 negaría a los usuarios con Internet Explorer 7/8/9 en Vista lo que todavía no están dispuestos a hacer.

Para responder a su pregunta: sí, esos otros sitios no son tan seguros como sea posible. Pero tampoco lo es GitHub.

    
respondido por el Jeff 10.01.2015 - 14:33
fuente
0

Puedes habilitar 3DES, que es una alternativa que existía antes de AES, pero es una de las suites de cifrado TLS más lentas.

    
respondido por el Yuhong Bao 29.01.2015 - 08:29
fuente

Lea otras preguntas en las etiquetas

Listado de tecnologías / idiomas en el historial de proyectos de LinkedIn ¿un problema de seguridad? crack de protección de contraseña de Office