SSL 支持多个匿名密码套件,例如 TLS_DH_anon_WITH_AES_256_GCM_SHA384。使用这些时,不会执行身份验证,也不会交换证书。这意味着如果使用它们,您就有遭受中间人攻击的风险。
以前,我只看到有人错误地启用了每个密码套件时才启用这些。今天,我注意到 Nationwide 网上银行启用了一个匿名密码套件。
这让我相信它是故意添加的,而不是意外添加的。
网站上匿名密码套件的用例是什么?
匿名 SSL 密码套件的用例是什么?
信息安全
tls
密码选择
2021-08-25 11:43:30
2个回答
TLS 包含这种能力并非没有充分的理由。
它无需证书颁发机构即可提供机密性 - 端点必须配置为记住它将接受哪些证书,而不是它将接受哪些证书颁发机构。这是与互联网上通常使用的完全不同的信任模型,不应该在公共网站上使用。
我不希望这个密码在任何浏览器中都可用。
网站上匿名密码套件的用例是什么?
没有任何。这只是一个严重的错误,因此等级上限为 F。没有一个浏览器提供匿名密码套件(至少默认情况下),因此不会以这种方式建立与浏览器的连接。但很可能一些移动银行应用程序也会犯同样的错误。