¿Qué está haciendo la comunidad para respaldar la reducción de TLS? [cerrado]

Question

¿Qué está haciendo la comunidad para respaldar la reducción de TLS? [cerrado]

#1 de Beat (2 votos)
#2 de Steffen Ullrich (1 votos)
#3 de cnst (-3 votos)

-4

No hay mucho que un usuario final promedio pueda hacer con respecto a su conexión a Internet o al hardware / software disponible.

Si vives en Kazajstán, tendrás todos los https MitM'ed desde el 2016-01-01, ya que el país tiene que saber qué blogs están leyendo las personas, y el https general del contenido público hace que sea mucho más difícil Cumplir sin MitM'ing la conexión. enlace

Del mismo modo, SHA1 bloqueará la puesta de sol Millones de redes cifradas, advierte Facebook .

Si mi sitio utiliza https y TLS, ¿cómo puedo habilitar correctamente el soporte de downgrade en TLS, para no perder a ningún público que pueda ser incapaz de establecer una conexión TLS realmente segura?

tls-downgrade

pregunta cnst 12.12.2015 - 04:40

fuente

3 respuestas

Lea otras preguntas en las etiquetas tls-downgrade

¿Cuántos símbolos y puntuaciones posibles hay en una contraseña? [cerrado] ¿Cómo verificar la identidad de una persona con un 100% de certeza? [cerrado]

score 2 · Answer 1

Nada .

La comunidad de seguridad no tiene interés en comprometer la seguridad del usuario o permitir que los gobiernos espíen a sus ciudadanos. Incluso si quisiéramos facilitarle al gobierno de Kazajstán que realice el ataque de su hombre en el medio (MITM): esto pondría en peligro la seguridad de todos los usuarios .

Por lo que sé, intentan obligar a sus ciudadanos a instalar un certificado raíz en todos sus dispositivos para que puedan realizar el ataque MITM; esto es comparable a los usuarios de Lenovo que tienen un Superfish certificado raíz instalado: un ataque flagrante a la seguridad del transporte contra el que se debe defender.

Buenas formas de hacerlo son:

habilite HTTP Strict Transport Security (HSTS) para evitar que los usuarios pongan en peligro accidentalmente su seguridad y apliquen una comunicación cifrada
use Fijación de clave pública HTTP (HPKP)
use Autenticación basada en DNS de entidades con nombre (DANE) para fijar su clave pública mediante DNS
use Autorización de la Autoridad de Certificación de DNS (CAA) para indicar qué CA puede emitir certificados válidos para su dominio

score 1 · Answer 2

Si mi sitio utiliza https y TLS, ¿cómo puedo respaldar adecuadamente los ataques de degradación en su contra?

Hay varios tipos de ataques de degradación como eliminación de SSL , degradaciones del protocolo SSL (TLS 1.2 a SSL 3.0, consulte enlace ) o rebajar las calificaciones de un seguro cifrar a un cifrado débil (es decir, WeakDH ).

Pero, dados sus ejemplos, no creo que esté hablando de ataques de baja calificación en absoluto, sino de intercepción SSL. Por lo tanto, me concentraré en la intercepción, pero la mayoría de los consejos también serán válidos para el ataque de eliminación de SSL.

No hay nada que deba hacer para permitir explícitamente la intercepción SSL. Pero la intercepción no funcionará si utiliza certificados de cliente. Es posible que no funcione si utiliza una CA poco común para sus certificados (o si utiliza certificados autofirmados), pero esto depende de la configuración del sistema de intercepción, que si está verificando los certificados correctamente o no.

score -3 · Answer 3

Parece que no se está haciendo nada al respecto.

La mayoría de los desarrolladores de navegadores y defensores de la seguridad en la actualidad viven en un mundo ideal donde la seguridad es más importante que el acceso a la información para los menos afortunados, por lo que aunque Google.com, por ejemplo, todavía está disponible a través de http simple, el equipo de Google Chrome efectivamente. le dice a internet que http debe estar apagado.

Parece que la forma más sencilla es continuar apoyando el esquema de dirección http:// , y esperamos que los usuarios sepan que si siguen un enlace y el sitio no funciona, intentan eliminar el s de https a ver si eso hace alguna diferencia.