¿Existen estadísticas sobre los servidores web y los navegadores que admiten TLS?

10

De Los piratas informáticos rompen el cifrado SSL utilizado por millones de sitios :

  

La vulnerabilidad reside en las versiones 1.0 y anteriores de TLS, o seguridad de la capa de transporte, el sucesor de la tecnología de la capa de sockets seguros que sirve como la base de confianza de Internet. Aunque las versiones 1.1 y 1.2 de TLS no son susceptibles, siguen siendo casi totalmente incompatibles en navegadores y sitios web por igual

¿Es esto cierto? ¿Existen estadísticas que puedan confirmar que muchos sitios / navegadores web todavía están utilizando TLS 1.0?

    
pregunta LanceBaynes 20.09.2011 - 17:46
fuente

2 respuestas

9

Sí, casi todos siguen usando SSL 3.0 o TLS 1.0. Ivan Ristic de Qualys hizo una agradable charla en Blackhat sobre eso este año.

En cuanto a si el ataque es real o no, entiendo que es realmente real, aunque en este momento hay cierto debate sobre su impacto, ya que los detalles aún no se han hecho públicos.

ACTUALIZACIÓN: estamos recomendando a nuestros clientes que pongan a rc4 en la parte superior de la lista de conjuntos de cifrado, ya que no será vulnerable a este ataque. Después de la investigación de un día, el ataque parece plausible y potencialmente grave.

Para Apache, algo como esto debería hacerlo:

SSLCipherSuite !aNULL:!eNULL:!EXPORT:!DSS:!DES:!SSLv2:RC4-SHA:RC4-MD5:ALL
SSLHonorCipherOrder on
    
respondido por el Steve Dispensa 20.09.2011 - 18:51
fuente
4

Claro. Ivan Ristic de Qualys tiene un análisis detallado. La versión corta es que muy pocos sitios web admiten TLS 1.1 o TLS 1.2. Aquí hay una descripción general que ha proporcionado:

Aquíhayunadescripcióngeneralrelacionadaque apareció en The Register :

Paraobtenermásdetalles,consultela encuesta SSL de Qualys 2010 y la G-SEC encuesta de compatibilidad y compatibilidad con SSL .

    
respondido por el D.W. 23.09.2011 - 19:04
fuente

Lea otras preguntas en las etiquetas