¿Existen estadísticas sobre los servidores web y los navegadores que admiten TLS?

Navega tus respuestas
10

De Los piratas informáticos rompen el cifrado SSL utilizado por millones de sitios :

  

La vulnerabilidad reside en las versiones 1.0 y anteriores de TLS, o seguridad de la capa de transporte, el sucesor de la tecnología de la capa de sockets seguros que sirve como la base de confianza de Internet. Aunque las versiones 1.1 y 1.2 de TLS no son susceptibles, siguen siendo casi totalmente incompatibles en navegadores y sitios web por igual

¿Es esto cierto? ¿Existen estadísticas que puedan confirmar que muchos sitios / navegadores web todavía están utilizando TLS 1.0?

    
pregunta LanceBaynes 20.09.2011 - 17:46
fuente

2 respuestas

9

Sí, casi todos siguen usando SSL 3.0 o TLS 1.0. Ivan Ristic de Qualys hizo una agradable charla en Blackhat sobre eso este año.

En cuanto a si el ataque es real o no, entiendo que es realmente real, aunque en este momento hay cierto debate sobre su impacto, ya que los detalles aún no se han hecho públicos.

ACTUALIZACIÓN: estamos recomendando a nuestros clientes que pongan a rc4 en la parte superior de la lista de conjuntos de cifrado, ya que no será vulnerable a este ataque. Después de la investigación de un día, el ataque parece plausible y potencialmente grave.

Para Apache, algo como esto debería hacerlo: 

SSLCipherSuite !aNULL:!eNULL:!EXPORT:!DSS:!DES:!SSLv2:RC4-SHA:RC4-MD5:ALL
SSLHonorCipherOrder on
    
respondido por el Steve Dispensa 20.09.2011 - 18:51
fuente
4

Claro. Ivan Ristic de Qualys tiene un análisis detallado. La versión corta es que muy pocos sitios web admiten TLS 1.1 o TLS 1.2. Aquí hay una descripción general que ha proporcionado:

Aquíhayunadescripcióngeneralrelacionadaque apareció en The Register :

Paraobtenermásdetalles,consultela encuesta SSL de Qualys 2010 y la G-SEC encuesta de compatibilidad y compatibilidad con SSL .

    
respondido por el D.W. 23.09.2011 - 19:04
fuente

Lea otras preguntas en las etiquetas

¿Es seguro tener un archivo contenedor TrueCrypt sincronizado con DropBox? Forma razonable de almacenar contraseñas encriptadas en la base de datos de una aplicación web, Linux