一部の「TLSを使用」および「SSLを使用」オプションがオフになっているのはなぜですか?


11

私は本当に混乱しています-TLS / SSLオプションの一部がデフォルトでオフになっているのはなぜですか?

ここに画像の説明を入力してください

それらをオンにすることで何か害はありますか?

回答:


9

実際、TLS 1.1 / 1.2を使用する方が最近のレポートで脆弱性が示されているため、TLS 1.1 / 1.2を使用する方が安全です。ソース:http : //www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/

上記のレポートによると、TLS 1.0がまだ使用されている理由は次のとおりです。

慣性の主な原因は、MozillaのFirefoxおよびGoogleのChromeブラウザーでSSLを実装するために使用されるネットワークセキュリティサービスパッケージと、何百万ものWebサイトがTLSを展開するために使用するオープンソースコードライブラリであるOpenSSLです。鶏と卵の行き詰まりのようなものでは、おそらく他のツールキットが提供しないため、どちらのツールキットもTLSの最新バージョンを提供しません。

QualysのエンジニアリングディレクターであるIvan Ristic氏は、次のように述べています。「ひどいですね。」

MozillaとOpenSSLを管理しているボランティアの両方がまだTLS 1.2を実装していないのに対し、Microsoftはわずかに優れたパフォーマンスしか発揮していません。セキュアTLSバージョンは、Internet ExplorerブラウザーとIIS Webサーバーで使用できますが、デフォルトでは使用できません。Operaはバージョン1.2も利用可能にしますが、ブラウザのデフォルトではありません。

Microsoftは、SSLの脆弱性に関するセキュリティアドバイザリを公開しており、TLS v1.1を有効にすることを推奨しています。このページには、適切に有効にするための修正があります。

http://support.microsoft.com/kb/2588513


2
確かにその記事を読んだことがありますが、私が理解できないのは、なぜすべてをチェックしないのですか?両方が利用可能な場合、TLS 1.0よりもTLS 1.2を優先するということではありませんか?
user541686

@Mehrdad:最新で最も安全なバージョンを優先します。1.2は1.0よりも新しいバージョンです。
user1686

6

SSL 2.0は安全ではありません。SSL 3.0とTLS 1.0が最も一般的です。しかし、Ar Shが述べたように、TLS 1.0には脆弱性の報告があります。

ほとんどのWebサーバーはSSL 3.0およびTLS 1.0を実装しているため、ほとんどのWebブラウザーは引き続きそれらを使用し、デフォルトです。

私の意見では、TLS 1.1と1.2を有効にすることはできますが、SSL 2.0は安全ではないため、有効にしないでください。


SSL 2.0が有効になっていると、SSL 3.0の使用に影響しますか?もしそうなら、なぜですか?(そうでない場合、なぜそれをオフにする必要がありますか?暗号化の欠如よりも悪いことはありません...)
user541686

2
SLL 2.0はSSL 3.0よりも脆弱です。ハンドシェイク中に、オプションを有効にすると、Webサーバーはブラウザに弱い暗号化を使用するように要求できます。今、銀行業務アプリケーションを使用していると想像してください。弱い暗号化でログインするか、まったくログインしない方がよいでしょうか?
ガネーシャR.

それは難しい質問です!わからない... +1
user541686

不安定なため、SSL 2.0は現在ほとんどすべてのWebサーバーで無効になっています。ブラウザで有効にする意味がありません。
user1686

1

tls> 1.0の相互運用性の問題は、採用されていないため完全には解決されていないため、多くのベンダーは、安全のために、ネゴシエートできる場合にデフォルトで有効化さえしていません。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.