¿Es TLS 1.0 suficientemente seguro para un banco?

5

Deshabilité SSL2 y SSL3 en mi navegador Firefox, versión 24. Solo habilité TLS 1.1 y 1.2. Desafortunadamente, cuando fui al sitio web de mi banco, descubrí que no funcionó hasta que volví a habilitar TLS 1.0.

Información adicional: mi sitio bancario utiliza el cifrado RSA.

¿Eso significa que el sitio web de mi banco es menos seguro de lo que debería ser, o esto es aceptable?

    
pregunta user28179 21.10.2013 - 09:08
fuente

1 respuesta

6

Lo que esto significa es que el servidor de su banco es compatible con TLS-1.0, no 1.1 o 1.2. Las versiones 1.1 y 1.2 agregan algunas características adicionales, pero eso no significa que TLS-1.0 sea débil. De hecho, la única característica de seguridad relevante agregada por TLS-1.1 sobre 1.0 es el IV aleatorio por registro. Esta función protege de forma inherente contra algunos ataques de texto sin formato elegido, a saber, el denominado " ataque BEAST ". Sin embargo, este ataque también puede ser derrotado con SSL-3.0 y TLS-1.0 si el cliente implementa una solución conocida como 1 / n-1 split , y Firefox lo implementa. Además, BEAST se puede aprovechar solo mediante la explotación de un agujero Same-Origin-Policy , y actualmente no se conoce ningún agujero. en los navegadores actuales (los dos que se usaron en las demostraciones de BEAST se han corregido desde entonces).

Por estas dos razones, no debes preocuparte por TLS-1.0. En términos muy generales, es mejor cuando las personas implementan nuevas versiones de protocolo, de modo que las nuevas características se filtren en todo el mundo; pero no hay urgencia .

Cuando su cuenta bancaria sea saqueada, no será a través de un agujero de protocolo TLS. El malware instalado en su máquina es una amenaza mucho mayor, por cierto.

    
respondido por el Tom Leek 22.10.2013 - 19:24
fuente

Lea otras preguntas en las etiquetas