TLS personalizado en el navegador [duplicado]

Navega tus respuestas
-1

Estamos desarrollando una aplicación web JSF que tiene el requisito principal de utilizar nuestra propia implementación TLS (suites de algoritmos personalizados). Los clientes se conectarán a través de un navegador. ¿Hay alguna forma (personalizando el navegador, poniendo algún software adicional para los clientes o cualquier otra forma arquitectónica) utilizando un navegador estándar (Firefox, Chrome, Opera, IE) con esta implementación TLS?

Esta pregunta en mi mente no es un duplicado completo de Agregar cifrado ¿Compatibilidad de la suite con Chrome / Chromoium? . Porque en esta pregunta menciono otros navegadores, así como Chrome y también solicito amablemente cualquier alternativa de arquitectura como un software personalizado que actúe como proxy o pasarela en el lado del cliente (en este caso, el cliente tendrá un software personalizado que sea factible en nuestro proyecto). ) que es responsable de TLS personalizado.

    
pregunta Martin Mystere 18.03.2015 - 15:58
fuente

1 respuesta

1

Dudo que sea posible agregar suites de cifrado personalizadas a Chrome o Firefox y mantenerlas con todas las actualizaciones rápidas. No sé cómo agregar cifrados al sistema Windows para que IE pueda usarlos, pero dado que incluso el propio Microsoft tiene problemas serios en esta área, dudo que pueda agregar cifrados fácilmente y mantenerlos a bajo costo.

Pero, podría escribir un proxy HTTP que haga la intercepción SSL (¡solo a su host!). Este proxy puede aceptar los cifrados nativos desde el navegador, pero utilizará sus propios cifrados especiales para comunicarse con su servidor. Si el navegador y el proxy se ejecutan en el mismo sistema, obtendrás el mismo resultado que con la integración de los cifrados personalizados en el navegador. Y esta solución tiene la ventaja de que es independiente del tipo de navegador.

Aparte de eso, espero que haya una buena razón para usar tus propios cifrados. En la mayoría de los casos, un enfoque mucho mejor es restringir el uso del servidor para que acepte solo los cifrados más seguros admitidos por el navegador y, por lo tanto, utilizar cifrados con propiedades de seguridad conocidas.

    
respondido por el Steffen Ullrich 18.03.2015 - 17:05
fuente

Lea otras preguntas en las etiquetas

¿Existen implicaciones de seguridad al no instalar el parche Leap Second en los sistemas de Red Hat? [cerrado] Código JS ofuscado que se rompe en la eliminación de ofuscación o depuración [cerrado]