私は本当に混乱しています-TLS / SSLオプションの一部がデフォルトでオフになっているのはなぜですか?
それらをオンにすることで何か害はありますか?
私は本当に混乱しています-TLS / SSLオプションの一部がデフォルトでオフになっているのはなぜですか?
それらをオンにすることで何か害はありますか?
回答:
実際、TLS 1.1 / 1.2を使用する方が最近のレポートで脆弱性が示されているため、TLS 1.1 / 1.2を使用する方が安全です。ソース:http : //www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/
上記のレポートによると、TLS 1.0がまだ使用されている理由は次のとおりです。
慣性の主な原因は、MozillaのFirefoxおよびGoogleのChromeブラウザーでSSLを実装するために使用されるネットワークセキュリティサービスパッケージと、何百万ものWebサイトがTLSを展開するために使用するオープンソースコードライブラリであるOpenSSLです。鶏と卵の行き詰まりのようなものでは、おそらく他のツールキットが提供しないため、どちらのツールキットもTLSの最新バージョンを提供しません。
QualysのエンジニアリングディレクターであるIvan Ristic氏は、次のように述べています。「ひどいですね。」
MozillaとOpenSSLを管理しているボランティアの両方がまだTLS 1.2を実装していないのに対し、Microsoftはわずかに優れたパフォーマンスしか発揮していません。セキュアTLSバージョンは、Internet ExplorerブラウザーとIIS Webサーバーで使用できますが、デフォルトでは使用できません。Operaはバージョン1.2も利用可能にしますが、ブラウザのデフォルトではありません。
。
Microsoftは、SSLの脆弱性に関するセキュリティアドバイザリを公開しており、TLS v1.1を有効にすることを推奨しています。このページには、適切に有効にするための修正があります。
。 http://support.microsoft.com/kb/2588513
。
SSL 2.0は安全ではありません。SSL 3.0とTLS 1.0が最も一般的です。しかし、Ar Shが述べたように、TLS 1.0には脆弱性の報告があります。
ほとんどのWebサーバーはSSL 3.0およびTLS 1.0を実装しているため、ほとんどのWebブラウザーは引き続きそれらを使用し、デフォルトです。
私の意見では、TLS 1.1と1.2を有効にすることはできますが、SSL 2.0は安全ではないため、有効にしないでください。