web-dev-qa-db-ja.com

一部の「TLSを使用」および「SSLを使用」オプションがオフになっているのはなぜですか?

私は本当に混乱しています-一部のTLS/SSLオプションがデフォルトでoffになっているのはなぜですか?

enter image description here

それらをオンにすることなどに害はありますか?

11
user541686

実際、最近のレポートではTLS 1.0の使用中に脆弱性が示されているため、TLS 1.1 /1.2を使用する方が安全です。出典: http://www.theregister.co.uk/2011/09/19/beast_exploits_Paypal_ssl/

上記のレポートによると、TLS 1.0が引き続き使用されている理由は次のとおりです。

慣性の主な原因は、MozillaのFirefoxとGoogleのChromeブラウザにSSLを実装するために使用されるネットワークセキュリティサービスパッケージと、何百万ものWebサイトがTLSを展開するために使用するオープンソースコードライブラリであるOpenSSLです。鶏と卵の行き詰まりの中で、どちらのツールキットも最近のバージョンのTLSを提供していません。おそらく、他のツールキットが提供していないためです。

QualysのエンジニアリングディレクターであるIvan Risticは、次のように述べています。 「ひどいですよね?」

MozillaとOpenSSLを管理しているボランティアの両方がまだTLS 1.2を実装していませんが、Microsoftのパフォーマンスはわずかです。セキュアなTLSバージョンは、Internet ExplorerブラウザーおよびIIS Webサーバーでは使用できますが、デフォルトでは使用できません。Operaは、バージョン1.2を使用可能にしますが、ブラウザーでデフォルトではありません。

マイクロソフトはSSLの脆弱性に関するセキュリティアドバイザリを公開しており、TLS v1.1を有効にすることをお勧めします。このページには、適切に有効にするための修正があります。

http://support.Microsoft.com/kb/258851

9
Ar Sh

SSL2.0は安全ではありません。 SSL3.0とTLS1.0が最も普及しています。しかし、Ar Shが述べたように、TLS1.0に脆弱性の報告があります。

ほとんどのWebサーバーはSSL3.0およびTLS1.0を実装しているため、ほとんどのWebブラウザーは引き続きそれらを使用し、デフォルトです。

私の意見では、TLS 1.1および1.2を有効にすることはできますが、SSL 2.0は安全ではないため、有効にしないでください。

6
Ganesh R.

tls> 1.0の相互運用性の問題は、採用されていないために完全には解決されていないため、多くのベンダーは、交渉のためにデフォルトで有効にすることさえしていません。

1
covener