¿Ya es el momento adecuado para decir adiós al soporte TLS1.1 en los servidores web? [cerrado]

7

Leyendo diferentes artículos, mencionando éste , por el bien de esta pregunta sobre el viejo tema TLS.

Cotizando parte del artículo:

  

El 30 de junio de 2018 es la fecha límite para desactivar SSL / TLS anterior e implementar un protocolo de cifrado más seguro: se recomienda TLS 1.1 o superior (se recomienda TLS v1.2) para cumplir con el Estándar de seguridad de datos PCI (PCI DSS) para salvaguardar los datos de pago.

Estoy pensando, si ya es el momento correcto para deshabilitar el soporte de TLS1.1 en los servidores web

Para ser específico en servidores con datos altamente confidenciales, por ejemplo.

Teniendo en cuenta que la mayoría de las personas no se verán afectadas, porque todos los navegadores (sin contar los sistemas como Vista o XP, ni las versiones antiguas de Android / Apple) ya tienen soporte para TLS1.2 desde hace mucho tiempo.

Por lo que digo, estoy deshabilitando TLS1.1 en todos mis servidores.

La mayoría de ustedes probablemente argumentará, que tal cosa es algo agresiva, pero ¿por qué esperar?

    
pregunta Vlastimil 26.11.2017 - 12:56
fuente

2 respuestas

16

La única razón para demorarse en despedirse es debido a los impactos potenciales. De hecho, la única razón para usar una tecnología en particular es que hace algo por usted y los costos / beneficios están dentro de sus tolerancias.

Si ha cuantificado los impactos de cortar una tecnología anterior y está de acuerdo con ella, entonces no hay ningún argumento ... No estoy seguro de cuál es el argumento basado en la seguridad que esperaba. experimentar.

En cuanto al argumento de seguridad para 1.2, no estoy seguro de que haya uno. Mirando el RFC , hay muchos modos de 'limpieza' y de adición, pero no hay defensa de ataque.

Entonces, ¿es hora? Probablemente no. Ciertamente no hay una razón generalmente convincente para.

    
respondido por el schroeder 26.11.2017 - 14:05
fuente
19

Pongamos la pregunta a la inversa: ¿Qué gana al deshabilitar TLS 1.1?

Seguridad

Parece que usted y su cita implican que desea pasar a TLS 1.2 porque es más seguro que TLS 1.1. Ese no es realmente el caso.

TLS 1.2 agregó un nuevo criptografía, por ejemplo, ahora puede usar AES en lugar de 3DES, o ECDHE en lugar de DHE. Por el momento, no hay ataques conocidos contra esos cifrados, por lo que no se puede decir directamente que es por seguridad. 1.2 también reemplaza a MD5 y SHA1. Esa es una mejora de la seguridad, pero para algo tan breve como una conexión TLS, es poco probable que sea una gran debilidad.

Entonces, mientras que TLS 1.2 ofrece nuevos algoritmos de cifrado, los antiguos aún se consideran aceptables, por lo que es difícil establecer un argumento de seguridad directo.

Rendimiento

Debido a los nuevos cifrados, obtendrá un poco menos de carga del servidor cuando use TLS 1.2. TLS 1.3 ofrecerá también un rendimiento mejorado a nivel de protocolo. Estos por sí mismos pueden ser razones para cambiar, pero realmente no tiene nada que ver con la seguridad.

    
respondido por el Mike Ounsworth 26.11.2017 - 14:26
fuente

Lea otras preguntas en las etiquetas