Pourquoi certaines options «Utiliser TLS» et «Utiliser SSL» sont-elles désactivées?

11

Je suis vraiment confus - pourquoi certaines des options TLS / SSL sont-elles désactivées par défaut?

entrez la description de l'image ici

Y a-t-il un mal à les allumer ou quelque chose?

windows internet-explorer user541686
la source

Réponses:

9

En fait, il est plus sûr d'utiliser TLS 1.1 / 1.2, car des rapports récents ont montré une vulnérabilité lors de l'utilisation de TLS 1.0. Source: http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/

Selon le rapport ci-dessus, la raison pour laquelle TLS 1.0 est toujours utilisé parce que:

Les principaux responsables de l'inertie sont le package Network Security Services utilisé pour implémenter SSL dans les navigateurs Mozilla Firefox et Google Chrome, et OpenSSL, une bibliothèque de code open source que des millions de sites Web utilisent pour déployer TLS. Dans une sorte d'impasse de poulet et d'œufs, aucune boîte à outils ne propose de versions récentes de TLS, probablement parce que l'autre ne le fait pas.

"Le problème est que les gens n'amélioreront pas les choses à moins que vous ne leur donniez une bonne raison, et par une bonne raison, je veux dire un exploit", a déclaré Ivan Ristic, directeur de l'ingénierie chez Qualys. "C'est terrible, non?"

Bien que Mozilla et les bénévoles qui maintiennent OpenSSL n'aient pas encore implémenté TLS 1.2, Microsoft n'a fait que légèrement mieux. Les versions TLS sécurisées sont disponibles dans son navigateur Internet Explorer et son serveur Web IIS, mais pas par défaut. Opera rend également la version 1.2 disponible mais pas par défaut dans son navigateur.

.

Microsoft a émis un avis de sécurité pour une vulnérabilité SSL et recommande d'activer TLS v1.1, il existe un correctif sur cette page pour vous aider à l'activer correctement.

. http://support.microsoft.com/kb/2588513

.

Ar Sh
la source
2
J'ai lu en effet que l' article, mais ce que je ne comprends pas: Pourquoi ne pas vérifier tout ? Ce n'est pas comme si cela allait favoriser TLS 1.2 par rapport à TLS 1.0 lorsque les deux sont disponibles, n'est-ce pas?
user541686
@Mehrdad: Cela va favoriser la version la plus récente et la plus sécurisée - et 1.2 est plus récent que 1.0.
user1686
6

SSL 2.0 n'est pas sûr. SSL 3.0 et TLS 1.0 sont les plus répandus. Mais comme Ar Sh l'a mentionné, il existe des rapports de vulnérabilité dans TLS 1.0.

Étant donné que la plupart des serveurs Web implémentent SSL 3.0 et TLS 1.0, la plupart des navigateurs Web les utilisent toujours et sont les paramètres par défaut.

À mon avis, vous pouvez activer TLS 1.1 et 1.2 mais évitez d'activer SSL 2.0 car il n'est pas sûr.

Ganesh R.
la source
SSL 2.0 activé affecte-t-il l'utilisation de SSL 3.0? Si oui, pourquoi? (Sinon, pourquoi devrait-il être désactivé? Cela ne peut pas être pire que le manque de chiffrement ...)
user541686
2
SLL 2.0 est plus faible que SSL 3.0. Pendant la prise de contact, le serveur Web peut demander au navigateur d'utiliser le cryptage le plus faible si vous activez l'option. Imaginez maintenant que vous utilisez une application bancaire, préférez-vous vous connecter avec un cryptage faible ou ne pas vous connecter du tout?
Ganesh R.
C'est une question difficile! Je ne suis pas sûr ... +1
user541686
En raison de son insécurité, SSL 2.0 est désactivé sur presque tous les serveurs Web aujourd'hui. Cela n'a aucun sens de l'activer dans votre navigateur.
user1686
1

Les problèmes d'interopérabilité tls> 1.0 n'ont jamais été entièrement résolus en raison du manque d'adoption, donc pour être sûr, de nombreux fournisseurs ne l'activent même pas par défaut alors qu'il pourrait simplement être négocié.

covener
la source