该漏洞存在于 TLS 或传输层安全的 1.0 及更早版本中,它是作为互联网信任基础的安全套接字层技术的继承者。尽管 TLS 的 1.1 和 1.2 版本不易受到影响,但它们在浏览器和网站中几乎完全不受支持
这是真的?是否有任何统计数据可以确认许多站点/网络浏览器仍在使用 TLS 1.0?
是否有关于网络服务器和浏览器 TLS 支持的统计数据?
信息安全
tls
网页浏览器
网络服务器
http
2021-08-24 03:49:40
2个回答
是的,几乎每个人仍在使用 SSL 3.0 或 TLS 1.0。今年,来自 Qualys 的 Ivan Ristic 在 Blackhat 做了一个很好的演讲。
至于这次袭击是否真实,我知道它确实是真实的,尽管目前对其影响存在一些争论,因为细节尚未公开。
更新 - 我们建议我们的客户将 rc4 提升到密码套件列表的顶部,因为它不会受到这种攻击。经过一天的研究,这次攻击看起来既合理又可能很严重。
对于 Apache,应该这样做:
SSLCipherSuite !aNULL:!eNULL:!EXPORT:!DSS:!DES:!SSLv2:RC4-SHA:RC4-MD5:ALL SSLHonorCipherOrder on
当然。Qualys 的 Ivan Ristic 有一些详细的分析。简短的版本是很少有网站支持 TLS 1.1 或 TLS 1.2。这是他提供的一个概述:
以下是The Register 中出现的相关概述:
有关更多详细信息,请参阅Qualys 2010 SSL 调查和G-SEC SSL 强化和兼容性调查。
其它你可能感兴趣的问题