¿Por qué algunas opciones de "Usar TLS" y "Usar SSL" están desactivadas?

11

Estoy realmente confundido: ¿por qué algunas de las opciones de TLS / SSL están desactivadas de manera predeterminada?

ingrese la descripción de la imagen aquí

¿Hay algún daño en encenderlos o algo así?

usuario541686
fuente

Respuestas:

9

En realidad, es más seguro usar TLS 1.1 / 1.2, ya que informes recientes han mostrado vulnerabilidad al usar TLS 1.0. Fuente: http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/

Según el informe anterior, la razón por la que TLS 1.0 todavía se usa porque:

Los principales culpables de la inercia son el paquete Network Security Services utilizado para implementar SSL en los navegadores Firefox y Chrome de Google de Mozilla, y OpenSSL, una biblioteca de código de código abierto que utilizan millones de sitios web para implementar TLS. En una especie de callejón sin salida de pollo y huevo, ninguno de los juegos de herramientas ofrece versiones recientes de TLS, presumiblemente porque el otro no.

"El problema es que las personas no mejorarán las cosas a menos que les des una buena razón, y por una buena razón me refiero a una hazaña", dijo Ivan Ristic, director de ingeniería de Qualys. "Es terrible, ¿no?"

Si bien tanto Mozilla como los voluntarios que mantienen OpenSSL aún no han implementado TLS 1.2, Microsoft ha tenido un desempeño ligeramente mejor. Las versiones seguras de TLS están disponibles en su navegador Internet Explorer y el servidor web IIS, pero no de manera predeterminada. Opera también hace que la versión 1.2 esté disponible pero no sea predeterminada en su navegador.

.

Microsoft tiene un aviso de seguridad para una vulnerabilidad SSL y recomienda habilitar TLS v1.1, hay una solución en esta página para ayudar a habilitarla correctamente.

. http://support.microsoft.com/kb/2588513

.

Ar Sh
fuente
2
De hecho, he leído ese artículo, pero lo que no entiendo es: ¿por qué no comprobar todo ? No es que vaya a favorecer TLS 1.2 sobre TLS 1.0 cuando ambos están disponibles, ¿verdad?
user541686
@Mehrdad: favorecerá la versión más nueva y segura, y 1.2 es más reciente que la 1.0.
user1686
6

SSL 2.0 no es seguro. SSL 3.0 y TLS 1.0 son los más frecuentes. Pero como Ar Sh mencionó, hay informes de vulnerabilidad en TLS 1.0.

Como la mayoría de los servidores web implementan SSL 3.0 y TLS 1.0, la mayoría de los navegadores web todavía los usan y son los valores predeterminados.

En mi opinión, puede habilitar TLS 1.1 y 1.2 pero evite habilitar SSL 2.0 ya que no es seguro.

Ganesh R.
fuente
¿SSL 2.0 activado afecta el uso de SSL 3.0? Si es así, ¿por qué? (Si no es así, ¿por qué debería estar apagado No puede ser peor que la falta de encriptación ...?)
user541686
2
SLL 2.0 es más débil que SSL 3.0. Durante el protocolo de enlace, el servidor web puede pedirle al navegador que use un cifrado más débil si habilita la opción. Ahora imagine que está utilizando una aplicación bancaria, ¿preferiría iniciar sesión con cifrado débil o no iniciar sesión en absoluto?
Ganesh R.
Esa es una pregunta difícil! No estoy seguro ... +1
user541686
Debido a su inseguridad, SSL 2.0 está deshabilitado en casi todos los servidores web hoy en día. No tiene sentido habilitarlo en su navegador.
usuario1686
1

Los problemas de interoperabilidad tls> 1.0 nunca se han solucionado por completo debido a la falta de adopción, por lo que, para estar seguros, muchos proveedores ni siquiera lo habilitan por defecto cuando solo se puede negociar.

Covener
fuente