¿Qué está haciendo la comunidad para respaldar la reducción de TLS? [cerrado]

-4

No hay mucho que un usuario final promedio pueda hacer con respecto a su conexión a Internet o al hardware / software disponible.

Si vives en Kazajstán, tendrás todos los https MitM'ed desde el 2016-01-01, ya que el país tiene que saber qué blogs están leyendo las personas, y el https general del contenido público hace que sea mucho más difícil Cumplir sin MitM'ing la conexión. enlace

Del mismo modo, SHA1 bloqueará la puesta de sol Millones de redes cifradas, advierte Facebook .

Si mi sitio utiliza https y TLS, ¿cómo puedo habilitar correctamente el soporte de downgrade en TLS, para no perder a ningún público que pueda ser incapaz de establecer una conexión TLS realmente segura?

    
pregunta cnst 12.12.2015 - 04:40
fuente

3 respuestas

2

Nada .

La comunidad de seguridad no tiene interés en comprometer la seguridad del usuario o permitir que los gobiernos espíen a sus ciudadanos. Incluso si quisiéramos facilitarle al gobierno de Kazajstán que realice el ataque de su hombre en el medio (MITM): esto pondría en peligro la seguridad de todos los usuarios .

Por lo que sé, intentan obligar a sus ciudadanos a instalar un certificado raíz en todos sus dispositivos para que puedan realizar el ataque MITM; esto es comparable a los usuarios de Lenovo que tienen un Superfish certificado raíz instalado: un ataque flagrante a la seguridad del transporte contra el que se debe defender.

Buenas formas de hacerlo son:

respondido por el Beat 12.12.2015 - 17:10
fuente
1
  

Si mi sitio utiliza https y TLS, ¿cómo puedo respaldar adecuadamente los ataques de degradación en su contra?

Hay varios tipos de ataques de degradación como eliminación de SSL , degradaciones del protocolo SSL (TLS 1.2 a SSL 3.0, consulte enlace ) o rebajar las calificaciones de un seguro cifrar a un cifrado débil (es decir, WeakDH ).

Pero, dados sus ejemplos, no creo que esté hablando de ataques de baja calificación en absoluto, sino de intercepción SSL. Por lo tanto, me concentraré en la intercepción, pero la mayoría de los consejos también serán válidos para el ataque de eliminación de SSL.

No hay nada que deba hacer para permitir explícitamente la intercepción SSL. Pero la intercepción no funcionará si utiliza certificados de cliente. Es posible que no funcione si utiliza una CA poco común para sus certificados (o si utiliza certificados autofirmados), pero esto depende de la configuración del sistema de intercepción, que si está verificando los certificados correctamente o no.

    
respondido por el Steffen Ullrich 12.12.2015 - 11:54
fuente
-3

Parece que no se está haciendo nada al respecto.

La mayoría de los desarrolladores de navegadores y defensores de la seguridad en la actualidad viven en un mundo ideal donde la seguridad es más importante que el acceso a la información para los menos afortunados, por lo que aunque Google.com, por ejemplo, todavía está disponible a través de http simple, el equipo de Google Chrome efectivamente. le dice a internet que http debe estar apagado.

Parece que la forma más sencilla es continuar apoyando el esquema de dirección http:// , y esperamos que los usuarios sepan que si siguen un enlace y el sitio no funciona, intentan eliminar el s de https a ver si eso hace alguna diferencia.

    
respondido por el cnst 12.12.2015 - 17:18
fuente

Lea otras preguntas en las etiquetas