Ändern sich die Verschlüsselungsstandards auf einem Client-PC, wenn Sie SSL / TLS verwenden?

571
PeanutsMonkey

Beeinflusst dies die Verbindung zwischen Client und Server, wenn Windows 7 ausgeführt wird und die Standardchiffren auf dem PC geändert werden? Wenn eine ähnliche Änderung nur auf dem Server vorgenommen wird, wirkt sich dies auf den Client aus? Was ist, wenn die Änderungen sowohl auf dem Client als auch auf dem Server vorgenommen werden?

2

1 Antwort auf die Frage

1
Ram

Ja. Client und Server vereinbaren, welche Verschlüsselung in einer SSL / TLS-Sitzung verwendet wird. Sie könnten also auf Ihrem Server oder Client alle CBC-Verschlüsselungen deaktivieren und Ihre BEAST-Exposition loswerden. Wahrscheinlich sind RC4 und 3DES die besten Optionen für die Verschlüsselung, obwohl sich 3DES im CBC-Modus befinden würde, also erst, wenn MS ihre Implementierung vor einigen Jahren per Diskussion korrigiert. Sie sollten wahrscheinlich auch die Stammliste Ihres Clients überprüfen, um sicherzustellen, dass Sie nicht standardmäßig jeder Regierung und jedem Geschäft der Welt bei der Verwaltung Ihrer Vertrauensentscheidungen für Sie vertrauen.

Ihre Aussage ist mir unklar. "Sie könnten also auf Ihrem Server oder Client alle CBC-Verschlüsselungen deaktivieren und Ihren Kontakt zu BEAST loswerden." Bedeutet dies, dass auf dem Server keine Änderungen vorgenommen werden, dh der Server unterstützt beispielsweise weiterhin SSL 2, und ich entferne alle verfügbaren Chiffren auf dem Client. PeanutsMonkey vor 13 Jahren 0
Was wäre eine sichere und Standardliste vertrauenswürdiger Stammzertifikate? PeanutsMonkey vor 13 Jahren 0
Es ist die Überlappung zwischen dem, was der Client und der Server konfiguriert und in der Lage sind zu verwenden. Dies ist ausgewählt aus - wenn ich mich recht erinnere, wird dem Server die Reihenfolge bevorzugt. Die Konsequenz ist, dass, wenn Sie [richtig] SSL2 sowie einige der schwächeren Verschlüsselungen in Ihrem Client deaktiviert haben, Sie keine Sitzung mit einem Dienst einrichten, der sie verwendet. Da BEAST nur gegen CBC-Chiffren arbeitet, können Sie diese einfach aus der Aushandlung entfernen, indem Sie sie im Client oder Server deaktivieren. Ram vor 13 Jahren 0
Wem sollten Sie vertrauen? Ein paar Hinweise, wie man dies bedenkt, ist alles, was ich anbieten kann. Sie wollen Wurzeln, die vertrauenswürdig sind, vielleicht, weil sie auf ihre Marke angewiesen sind und in der Vergangenheit nur wenige Ausfälle mit starker Erholung hatten. Sie möchten Wurzeln, die durch starke technische Vorzüge unterstützt werden, wie z. B. hochfrequente OCSP- und CRLs für jedes Zertifikat in der Kette und die regelmäßige erneute Eingabe von Zwischenzertifikaten. Ram vor 13 Jahren 1
Tut mir leid, ich verfolge nicht ganz, was Sie unter einer Überlappung zwischen den Kunden verstehen. Wenn zum Beispiel auf dem Client nichts gemacht wird und die Änderungen nur auf dem Server vorgenommen werden, was passiert dann? Was passiert, wenn nur der Client und nicht der Server geändert wird? In Ihrem Beispiel haben Sie erwähnt, dass bei Deaktivierung von SSLv2 auf dem Client keine Sitzung eingerichtet wird, wenn ein Server sie verwendet. Dies bedeutet jedoch, dass der Client ein Upgrade auf SSL 3 oder TLS 1.0 erzwingen muss, sofern dies vom unterstützt wird Server? PeanutsMonkey vor 13 Jahren 0
Wem würden Sie sagen, dass sie von einem starken technischen Wert unterstützt wird? PeanutsMonkey vor 13 Jahren 0
Wenn Sie SSLv2 in einem Client oder Server deaktivieren, wird SSLv2 nicht verwendet. Wenn Sie eine bestimmte Chiffre (z. B. 3DES-CBC) in einem Client oder einem Server deaktivieren, wird sie nicht verwendet. Es ist wie wenn meine Frau sagt "Lass uns zum Essen gehen - ich bin mit Thai oder Mexikaner okay" und ich sage "Ich bin mit Mexikaner oder Italiener okay" ... wir bekommen kein Italienisch, da wir nicht beides haben stimme zu, dass es eine Option ist. Ram vor 13 Jahren 0
Ich habe seit Jahren nicht recherchiert, um zu sehen, wer einen starken technischen Wert hat. Ich werde später etwas herumgraben und nachsehen, ob ich eine Vergleichsmatrix finden kann - ich wette, dass mindestens eine der folgenden Optionen vorliegt: EFF, Mozilla Foundation, Bruce Schneier. Ram vor 13 Jahren 0
Das ist interessant, weil die Deaktivierung auf dem Client und nicht auf dem Server die Auswahl von Chiffren einschränkt. Warum sagt Microsoft nicht, dass die Unterstützung für SSLv2 in Windows XP, Vista, 7 usw. entfernt wird? PeanutsMonkey vor 13 Jahren 0
Microsoft interessiert sich nicht für Ihre Sicherheit und niemand hat diese Diskussion mit ihren Anwälten geführt, schätze ich. Eine bessere Antwort ist, dass Microsoft die Personen, denen Sie standardmäßig vertrauen, nicht einschränken möchte. Ram vor 13 Jahren 1