¿Hay un equivalente de HSTS para especificar la versión TLS?

6

HSTS me permite forzar a los clientes a que se conecten a mi sitio web mediante HTTPS, pero no especifica la versión de SSL, TLS ni los cifrados que estoy prohibiendo.

¿Existe alguna alternativa o extensión de HSTS que me permita especificar

  • Versión mínima de TLS (1.2)
  • Cifrados TLS (los que figuran en TLS 1.3)
pregunta random65537 12.09.2015 - 01:47
fuente

2 respuestas

7

En TLS, el cliente propone y el servidor elige.

Lo que desea es tan simple como configurar sus servidores para permitir solo TLS 1.2 y las suites de servidores particulares que desea usar. No hay necesidad de nada especial.

    
respondido por el Ayrx 12.09.2015 - 04:05
fuente
1

No : no existe tal mecanismo y es poco probable que se desarrolle uno.

Primero un resumen: HSTS permite que un servidor obligue a los clientes a usar HTTPS para un dominio en particular. Sin HSTS, puedo habilitar SSL en mydomain.com, pero existe el riesgo de que un sitio de un atacante pueda secuestrar un cliente (por ejemplo, por envenenamiento de DNS), y de que sirva contenido HTTP simple sin autorización para mydomain.com. La buena conciencia del usuario siempre ha podido prevenir esto (verifique el candado), pero el punto de HSTS es que brinda protección incluso para usuarios novatos.

Cuando se trata de versiones TLS, como dice Terry Chia, puedes decidir qué versiones quieres que admita tu servidor. Es posible que un servidor no autorizado intente suplantar su servidor y utilice versiones TLS que no haya habilitado. Pero tendrían que tener un certificado para su dominio, o algún tipo de vulnerabilidad en una versión antigua de TLS que están explotando. Teniendo en cuenta que las vulnerabilidades del protocolo TLS publicadas son problemas sutiles que no permitirían la suplantación de identidad sin un certificado, nadie está interesado en desarrollar dicho sistema.

    
respondido por el paj28 13.09.2015 - 17:30
fuente

Lea otras preguntas en las etiquetas