SSL LabsがCBCスイートを弱いと見なしているのはなぜですか?
同等のGCMとChaCha20は強力であると見なされているにもかかわらず、SSLラボがCBC 256スイートを弱いとマークするのはなぜですか数か月前までは、レポートにマークが付けられておらず(明示的に弱いものでも強いものでもありません)、その クライアントリスト ではまだマークが付けられていません。
問題のスイートは次のとおりです。
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA
SHA1は、Android 5および6で4x100%のスコアをサポートするための要件です。それでも4x100%のスコアを取得しますが、OCDの観点からは「プロフェッショナル」。
CBCは理論的には問題ありませんが、不適切な実装では接続が パディングOracle攻撃 にさらされるリスクが常にあります。何度も何度も、TLSのCBC実装は脆弱であることが示されています。実装が修正されるたびに、Oracle攻撃を実行可能にする別のバグが現れるようです。 Lucky Thirteen は2013年に公開され、サイドチャネルに基づくこの攻撃の亜種が次々と出現しています。 SSL Labsは単に履歴を観察し、そこから学んでいます。
簡単に言えば、4つの新しいCBC限定攻撃が明らかになった後、すべてのOracle攻撃をパディングし、阻止します 更新ブログ投稿の作成者のコメントによると :
4つの新しいCBCベースの脆弱性の後にのみ、CBCベースの暗号化スーツから離れることをお勧めします。現在のところ、CBCのグレード変更はなく、サーバーは引き続き使用できます。