¿Cuáles son los casos de uso de conjuntos de cifrado SSL anónimos?

Navega tus respuestas
10

SSL admite varios conjuntos de cifrado anónimos, como TLS_DH_anon_WITH_AES_256_GCM_SHA384. Cuando se utilizan, no se realiza ninguna autenticación y no se intercambian certificados. Esto significa que si se usan, corre el riesgo de ataques MitM.

Anteriormente, solo los he visto habilitados cuando alguien ha habilitado todos los conjuntos de cifrado por error. Hoy noté que la banca en línea de Nationwide tiene un conjunto de cifrado anónimo único habilitado .

Esto me lleva a creer que se agregó deliberadamente, en lugar de accidentalmente.

¿Cuáles son los casos de uso de conjuntos de cifrado anónimos en un sitio web?

    
pregunta Cybergibbons 13.02.2016 - 09:25
fuente

2 respuestas

6
  

¿Cuáles son los casos de uso de conjuntos de cifrado anónimos en un sitio web?

Ninguna. Esto es solo un grave error y, por lo tanto, el grado está limitado a F. Ninguno de los navegadores ofrece conjuntos de cifrado anónimos (al menos de forma predeterminada), por lo que no se establecerá ninguna conexión con un navegador de esta manera. Pero bien podría ser que algunas aplicaciones de banca móvil cometan el mismo error.

    
respondido por el Steffen Ullrich 13.02.2016 - 13:15
fuente
8

Que TLS incluya dicha capacidad no es sin una buena razón.

Proporciona confidencialidad sin la necesidad de una autoridad de certificación; se debe configurar un punto final para recordar qué certificados aceptará, en lugar de qué autoridades de certificación aceptará. Este es un modelo de confianza completamente diferente del que se usa generalmente en Internet, y no debe usarse en un sitio web público.

No esperaría que este cifrado estuviera disponible en ningún navegador.

    
respondido por el symcbean 14.02.2016 - 01:25
fuente

Lea otras preguntas en las etiquetas

¿Es seguro responder a un correo electrónico sospechoso? modelo RBAC: usuario en dos roles acceso dilema