SSL - jaki jest powód wyłączenia obsługi SSL v2?


8

Zauważyłem wiele przewodników mówiących, że powinieneś wyłączyć obsługę SSL v2 podczas konfigurowania SSL na serwerze WWW.

Nie rozumiem powodu. Czy ktoś może mi powiedzieć, dlaczego?

Odpowiedzi:


12

Wikipedia :

SSL 2.0 ma wiele wad: 1

  • Identyczne klucze kryptograficzne służą do uwierzytelniania i szyfrowania wiadomości.
  • SSL 2.0 ma słabą konstrukcję MAC, która korzysta z funkcji skrótu MD5 z tajnym prefiksem, co czyni go podatnym na ataki polegające na przedłużaniu długości.
  • Protokół SSL 2.0 nie ma żadnej ochrony przed uściskiem dłoni, co oznacza, że ​​atak na starszą wersję może zostać niezauważony.
  • SSL 2.0 korzysta z połączenia TCP blisko do wskazania końca danych. Oznacza to, że możliwe są ataki obcięte: atakujący po prostu fałszuje protokół TCP FIN, pozostawiając odbiorcę nieświadomą nieautoryzowanego końca wiadomości (SSL 3.0 rozwiązuje ten problem poprzez jawne powiadomienie o zamknięciu).
  • SSL 2.0 zakłada pojedynczą usługę i stały certyfikat domeny, co koliduje ze standardową funkcją wirtualnego hostingu na serwerach WWW. Oznacza to, że większość witryn praktycznie nie ma dostępu do protokołu SSL. TLS / SNI rozwiązuje ten problem, ale nie został jeszcze wdrożony na serwerach WWW.

1: http://en.wikipedia.org/wiki/Transport_Layer_Security#SSL_1.0.2C_2.0_and_3.0

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.