¿Cómo evitar la degradación de TLS en el lado del cliente?

0

Hoy, por experimento, noté que Google Chrome (69.0.3497.100) y Firefox (62.0.3) estaban dispuestos a conectarse a un servidor que solo era compatible con TLS 1.0, aunque la compatibilidad correspondiente se eliminó en la configuración del navegador.

En Wireshark, pude ver que el cliente pedía TLS 1.2 y que el servidor respondía que solo se admite una versión menor de TLS. El navegador continuó felizmente conectado.

Por otra parte, MS Edge, después de eliminar la compatibilidad con TLS 1.0 y TLS 1.1 en la configuración de Internet Explorer (no pude encontrar la configuración en Edge) se negó a conectarse a ese servidor. Solo se conectó después de agregar nuevamente la compatibilidad con TLS 1.0 y 1.1 o después de habilitar TLS 1.2 en el servidor.

¿Qué comportamiento es correcto?

¿Y hay una manera de no permitir que Chrome o Firefox se conecten a un servidor que no es compatible con TLS 1.2? Por supuesto, podría intentar eliminar el soporte en el nivel del sistema operativo, pero no estoy seguro de querer hacerlo.

    
pregunta Thomas 18.10.2018 - 17:11
fuente

2 respuestas

1

Para la versión 69 de Chrome Major, el indicador --ssl-version-min = tls1.2 no fue efectivo. Al actualizar a la versión principal 70, esta bandera funciona como se esperaba.

Además, la siguiente clave de registro también debería funcionar:

HKLM \ Software \ Policies \ Google \ Chrome \ SSLVersionMin == "tls1.2"

    
respondido por el DarkMatter 18.10.2018 - 21:06
fuente
0

En Chrome, deberías poder inhabilitar forzosamente el repliegue de TLS usando el indicador de línea de comando --ssl-version-min .

Asegúrese de incluir eso en cada acceso directo para no abrirlo accidentalmente sin esa opción (por ejemplo, modifique el menú de Inicio y el ícono del escritorio).

También puede probar las extensiones de política de Chrome . Esta es la forma más fácil de realizar la tarea en todos los usuarios.

Este es un caso en el que el comportamiento de Microsoft es más razonable y coherente con los estándares de la industria, y no entiendo por qué Chrome se comporta de esta manera.

    
respondido por el DoubleD 18.10.2018 - 17:54
fuente

Lea otras preguntas en las etiquetas