10 Stimmen

Henry avatar

Alternativen zu SSL

Gefragt el 3 de Kann, 2011
Wann wurde die Frage gestellt
11080 Ansichten
Anzahl der Besuche der Frage
3 Antworten
Anzahl der Fragenantworten
Gelöst
Aktueller Status der Frage

In den letzten Jahren scheint SSL von der Sicherheitsgemeinschaft ziemlich viel Prügel bezogen zu haben. Während die technischen Gründe jenseits meines Verständnisses liegen, verstehe ich die Konzepte und weiß, dass SSL immer unsicherer wird, da neue Schwachstellen gefunden werden.

Meine Frage an euch ist folgende: Wenn SSL "kaputt" ist, gibt es dann eine Technologie, die seinen Platz einnehmen kann? Gibt es eine sicherere Alternative?

Wir sind für jeden Gedanken dankbar! :)

(ps, ich spreche nicht speziell von HTTPS - ich meine jede SSL-Technologie)

Gefragt el 3 de Kann, 2011 von Henry

Antworten

Zu viele Anzeigen?

13voto

rook avatar
rook Punkte 64487

SSL ist nicht kaputt . Das Protokoll ist so konzipiert, dass es robust ist, Probleme können in einer bestimmten Chiffriersuite gefunden werden, und ein Patch ist so einfach wie eine einzeilige Konfigurationsänderung unter Verwendung einer neuen Chiffriersuite. Es gibt Angriffe wie SSLStrip und Möglichkeiten der Vorbeugung, wie zum Beispiel HTTP-STS .

Das größte Problem ist, dass die Menschen HTTPS nicht oft genug benutzen. Dies führt zu Problemen wie OWASP a9 die von Tools wie Feuerschaf .

Beantwortet el 3 de Kann, 2011 von rook (64487 Punkte )

8voto

josh-cain avatar
josh-cain Punkte 4687

Ich würde den vorangegangenen Antworten widersprechen, dass SSL nicht kaputt ist - eines der Hauptprobleme in letzter Zeit waren die CAs (Zertifizierungsstellen), die kompromittiert wurden. SSL ist darauf ausgelegt, vertrauenswürdige Dritte einzusetzen - für immer. Wenn eine dieser vertrauenswürdigen Parteien kompromittiert wird, haben sie die Schlüssel zum Schloss.

Wir haben bereits gesehen, dass eine Reihe namhafter CAs wie Comodo und DigiNotar kompromittiert wurden. Das Problem ist so groß geworden, dass das NIST eine ITL-Bulletin zur Reaktion auf CA-Kompromittierungen . Ich würde also behaupten, dass, obwohl einige SSL/TLS-Implementierungen technisch einwandfrei sind, der "defekte" Teil ein Designproblem ist, das mit der Quelle des "Vertrauens" zu tun hat.

Beantwortet el 22 de August, 2012 von josh-cain (4687 Punkte )

0voto

snow6oy avatar
snow6oy Punkte 629

OpenSSL hat einige Sicherheitslücken, und es gibt einen Vorschlag, diese zu beheben. TACK baut auf einer Technik namens Pinning auf, die von Google eingeführt wurde. Hier ist die Vorlage für die TLS-Arbeitsgruppe.

http://tack.io/draft.html

Beantwortet el 9 de August, 2012 von snow6oy (629 Punkte )

Verwandte Fragen

Empfohlene Fragen

Top-Tags

CodeJaeger.com

CodeJaeger ist eine Gemeinschaft für Programmierer, die täglich Hilfe erhalten..
Wir haben viele Inhalte, und Sie können auch Ihre eigenen Fragen stellen oder die Fragen anderer Leute lösen.

Powered by:

Yandex
X