Je suis vraiment confus - pourquoi certaines des options TLS / SSL sont-elles désactivées par défaut?
Y a-t-il un mal à les allumer ou quelque chose?
Je suis vraiment confus - pourquoi certaines des options TLS / SSL sont-elles désactivées par défaut?
Y a-t-il un mal à les allumer ou quelque chose?
Réponses:
En fait, il est plus sûr d'utiliser TLS 1.1 / 1.2, car des rapports récents ont montré une vulnérabilité lors de l'utilisation de TLS 1.0. Source: http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/
Selon le rapport ci-dessus, la raison pour laquelle TLS 1.0 est toujours utilisé parce que:
Les principaux responsables de l'inertie sont le package Network Security Services utilisé pour implémenter SSL dans les navigateurs Mozilla Firefox et Google Chrome, et OpenSSL, une bibliothèque de code open source que des millions de sites Web utilisent pour déployer TLS. Dans une sorte d'impasse de poulet et d'œufs, aucune boîte à outils ne propose de versions récentes de TLS, probablement parce que l'autre ne le fait pas.
"Le problème est que les gens n'amélioreront pas les choses à moins que vous ne leur donniez une bonne raison, et par une bonne raison, je veux dire un exploit", a déclaré Ivan Ristic, directeur de l'ingénierie chez Qualys. "C'est terrible, non?"
Bien que Mozilla et les bénévoles qui maintiennent OpenSSL n'aient pas encore implémenté TLS 1.2, Microsoft n'a fait que légèrement mieux. Les versions TLS sécurisées sont disponibles dans son navigateur Internet Explorer et son serveur Web IIS, mais pas par défaut. Opera rend également la version 1.2 disponible mais pas par défaut dans son navigateur.
.
Microsoft a émis un avis de sécurité pour une vulnérabilité SSL et recommande d'activer TLS v1.1, il existe un correctif sur cette page pour vous aider à l'activer correctement.
. http://support.microsoft.com/kb/2588513
.
SSL 2.0 n'est pas sûr. SSL 3.0 et TLS 1.0 sont les plus répandus. Mais comme Ar Sh l'a mentionné, il existe des rapports de vulnérabilité dans TLS 1.0.
Étant donné que la plupart des serveurs Web implémentent SSL 3.0 et TLS 1.0, la plupart des navigateurs Web les utilisent toujours et sont les paramètres par défaut.
À mon avis, vous pouvez activer TLS 1.1 et 1.2 mais évitez d'activer SSL 2.0 car il n'est pas sûr.