Re: HTTPS, SSL & BEAST attack - ρύθμιση apache

Simos Xenitellis simos.lists at googlemail.com
Mon Jul 15 23:24:44 UTC 2013 

On Thu, Jul 11, 2013 at 7:33 PM, Savvas Radevic <vicedar at gmail.com> wrote:

>
> Ακόμη μια ερώτηση, τα TLSv* αντικατέστησαν τα SSLv*; Τα SSLv* είναι πιο
> παλιά από ιστορικής απόψεως;


Αυτό το SSLv* είναι η ονομασία που έδωσε αρχικά η Netscape, όταν
πρωτοδημιούργησε τα πρωτόκολλα.
Όταν αυτά προτυτοποιήθηκαν, τότε το SSLv3 (τελευταίο της σειράς SSLv*)
μετατράπηκε σχεδόν αυτούσιο σε TLSv1 (διεθνές πρότυπο), και γιαυτό
διαβάζεις για «SSL/TLS». Περνάμε σταδικά στα TLSv1, TLSv1.1 και τώρα
TLSv1.2.

Κάτι που γίνεται της μόδας στο SSL/TLS είναι το Perfect Forward Secrecy
(PFS), όπου επιτρέπει την ασφαλή επικοινωνία μεταξύ π.χ. περιηγητή και
εξυπηρετητή ιστοσελίδων, ακόμα και στην περίπτωση που κάποια στιγμή στο
μέλλον κάποιος καταφέρει να σπάσει τα πιστοποιητικά. Δηλαδή, όταν διαβάζεις
τώρα το GMail σου με σύνδεση SSL/TLS στο https://mail.google.com/ και
θεωρήσουμε ότι, και ο περιηγητής σου είναι ασφαλής, και το mail.google.com,
τότε αν κάποιος καταγράψει τα πακέτα της κρυπτογραφημένης επικοινωνίας και
θελήσει αργότερα να την αποκρυπτογραφήσει διότι έσπασε αργότερα το
πιστοποιητικό του mail.google.com, δεν μπορεί. Διότι με τη χρήση PFS η κάθε
επικοινωνία χρησιμοποιεί ένα προσωρινό κλειδί με τέτοιο τρόπο που αυτό δεν
εμφανίζεται κατά τη μετέπειτα αποκρυπτογράφηση της επικοινωνίας.

Αυτό το PFS είναι σημαντικό ιδίως σε δικούς μας εξυπηρετητές με SSL/TLS,
οπότε ακόμα και όταν εταιρίες όπως η Verisign δώσουν σε τρίτους τα κλειδιά
των πιστοποιητικών, τότε η μόνη δυνατή επίθεση είναι η ενεργή (active) αντί
για παθητική (καταγραφή πακέτων επικοινωνίας). Γενικά ενεργές επιθέσεις
είναι πολύ σπάνιες, και υπάρχουν τρόποι να διαπιστώσεις τι γίνεται.

Για να ελέγξεις πως πάει ένας διαδικτυακός τόπος από πλευράς SSL/TLS,
δοκιμάζεις την υπηρεσία της Qualis.
Έτσι, για το https://mail.google.com δες
https://www.ssllabs.com/ssltest/analyze.html?d=mail.google.com&hideResults=on
Ενώ για το Hotmail της Microsoft δες
https://www.ssllabs.com/ssltest/analyze.html?d=bay168.mail.live.com&hideResults=on

Και θα δεις ότι για της Microsoft έχει ένα σωρό προβλήματα,
1. δεν υποστηρίζει TLS v1.1, TLS v1.2
2. είναι έκθετο στο BEAST

Σίμος
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <https://lists.ubuntu.com/archives/ubuntu-gr/attachments/20130716/78cdf07d/attachment.html>

More information about the Ubuntu-gr mailing list