Mengapa beberapa opsi "Gunakan TLS" dan "Gunakan SSL" dimatikan?

11

Aku benar-benar bingung - mengapa beberapa pilihan TLS / SSL diaktifkan off secara default?

masukkan deskripsi gambar di sini

Apakah ada salahnya menyalakannya atau apa?

windows internet-explorer pengguna541686
sumber

Jawaban:

9

Sebenarnya, lebih aman menggunakan TLS 1.1 / 1.2, karena laporan terbaru menunjukkan kerentanan saat menggunakan TLS 1.0. Sumber: http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/

Sesuai laporan di atas, alasan TLS 1.0 masih digunakan karena:

Penyebab utama inersia adalah paket Layanan Keamanan Jaringan yang digunakan untuk mengimplementasikan SSL di Firefox Mozilla dan browser Google Chrome, dan OpenSSL, perpustakaan kode sumber terbuka yang digunakan jutaan situs web untuk menggunakan TLS. Dalam hal kebuntuan ayam dan telur, tidak ada toolkit yang menawarkan TLS versi terbaru, mungkin karena yang lain tidak.

"Masalahnya adalah orang-orang tidak akan memperbaiki keadaan kecuali Anda memberi mereka alasan yang bagus, dan dengan alasan yang baik maksud saya eksploit," kata Ivan Ristic, direktur teknik Qualys. "Ini mengerikan, bukan?"

Sementara Mozilla dan sukarelawan yang mempertahankan OpenSSL belum menerapkan TLS 1.2 sama sekali, Microsoft telah melakukan sedikit lebih baik. Versi TLS aman tersedia di browser Internet Explorer dan server web IIS, tetapi tidak secara default. Opera juga menyediakan versi 1.2 tetapi tidak menjadi default di browser-nya.

.

Microsoft memiliki Penasihat Keamanan untuk kerentanan SSL dan merekomendasikan untuk mengaktifkan TLS v1.1, ada fixit pada halaman ini untuk membantu mengaktifkannya dengan benar.

. http://support.microsoft.com/kb/2588513

.

Ar Sh
sumber
2
Saya memiliki memang membaca artikel itu, tapi apa yang saya tidak mengerti adalah: Mengapa tidak memeriksa segalanya ? Ini tidak seperti itu akan mendukung TLS 1.2 lebih dari TLS 1.0 ketika keduanya tersedia, bukan?
user541686
@Mehrdad: Ini akan mendukung versi terbaru, paling aman - dan 1.2 lebih baru dari 1.0.
user1686
6

SSL 2.0 tidak aman. SSL 3.0 dan TLS 1.0 adalah yang paling umum. Tapi seperti yang disebutkan Ar Sh, ada laporan kerentanan di TLS 1.0.

Karena sebagian besar server web menerapkan SSL 3.0 dan TLS 1.0, sebagian besar browser web masih menggunakannya dan merupakan standarnya.

Menurut pendapat saya, Anda dapat mengaktifkan TLS 1.1 dan 1.2 tetapi menghindari mengaktifkan SSL 2.0 karena tidak aman.

Ganesh R.
sumber
Apakah SSL 2.0 sedang aktif mempengaruhi penggunaan SSL 3.0? Jika demikian, mengapa? (Jika tidak, lalu mengapa harus dimatikan? Tidak bisa lebih buruk daripada kurangnya enkripsi ...)
user541686
2
SLL 2.0 lebih lemah dari SSL 3.0. Selama berjabat tangan, server web dapat meminta browser untuk menggunakan enkripsi yang lebih lemah jika Anda mengaktifkan opsi. Sekarang bayangkan Anda menggunakan aplikasi perbankan, apakah Anda lebih suka login dengan enkripsi yang lemah atau tidak masuk sama sekali?
Ganesh R.
Itu pertanyaan yang sulit! Saya tidak yakin ... +1
user541686
Karena ketidakamanannya, SSL 2.0 dinonaktifkan di hampir semua server web saat ini. Tidak masuk akal dalam mengaktifkannya di browser Anda.
user1686
1

tl> 1.0 masalah interop tidak pernah sepenuhnya diselesaikan karena kurangnya adopsi, sehingga untuk aman banyak vendor bahkan tidak mengaktifkannya secara default ketika itu hanya bisa dinegosiasikan ke bawah.

covener
sumber