web-dev-qa-db-ja.com

TLS 1.0は銀行にとって十分に安全ですか?

Firefoxブラウザバージョン24でSSL2とSSL3を無効にしました。TLS1.1と1.2のみを有効にしました。残念ながら、銀行のWebサイトにアクセスしたところ、TLS 1.0を再度有効にするまで機能しませんでした。

追加情報:私の銀行サイトではRSA暗号化を使用しています。

それは私の銀行のウェブサイトが本来あるべきものよりも安全でないことを意味しますか、それともこれは受け入れられますか?

5
user28179

これは、銀行のサーバーがTLS-1.0をサポートしており、1.1または1.2をサポートしていないことを意味しています。バージョン1.1および1.2はいくつかの追加機能を追加しますが、それはTLS-1.0が脆弱であることを意味しません。実際、TLS over 1.1 over 1.0によって追加された唯一の関連セキュリティ機能は、レコードごとのランダムIVです。この機能は、選択された平文攻撃、いわゆる「 BEAST攻撃 」から本質的に保護します。ただし、クライアントが 1/n-1 split と呼ばれる回避策を実装していて、Firefoxがそれを実装している場合、SSL-3.0およびTLS-1.0でこの攻撃を無効にすることもできます。また、BEASTは Same-Origin-Policy ホールを利用することによってのみ利用でき、そのようなホールは現在のブラウザでは現在知られていません(BEASTデモで使用されていた2つはそれ以降修正されています)。 。

これら2つの理由により、TLS-1.0について心配する必要はありません。非常に一般的に言えば、新しい機能が世界中に浸透するように、新しいプロトコルバージョンを展開するのが最適です。 緊急度はありません。

銀行口座が略奪されても、TLSプロトコルホールを通過することはありません。あなたのマシンにインストールされたマルウェアは、実際、はるかに大きな脅威です。

6
Tom Leek