SSL/TLS az Interneten
Post date: Sep 21, 2011 3:00:07 PM
Nemrég megjelent a hír, hogy elkészült egy eszköz, amivel a TLS v1.0 törhető.
Lássuk csak, mi a helyzet a mai HTTP szerverek és böngészők között, illetve milyen lehetőségek vannak a TLS v1.2 használatára.
Röviden, a következőképpen épül fel a titkosítás hierarchiája:
titkosítási algoritmus - TLS (SSL) implementáció - HTTP server/modul SSL engine támogatása
Algoritmus
A kívánatos algoritmus az SHA-2, melynek 4 változata van.
- SHA224
- SHA256
- SHA384
- SHA512
Erre épül a TLS 1.2 (TLSv1.2), aminek a "másik neve" SSL 3.3 (SSLv3.3).
SSL engine
Az SSL engine-ek a következőképpen támogatják a TLS 1.2-t:
OpenSSL: stabil (1.0.0e): nem. Fejlesztői ág: 1.0.1-ben jelent meg: "Add TLS v1.2 server support for client authentication."
GnuTLS: igen. 2.9.8 óta (2009)
IBM GSKit: igen (v8)
Browser vs HTTP server
A TLS 1.2 támogatása a nagyobb mai böngészőkben és HTTP szerverekben:
Mozilla Firefox: nem (NSS nem támogatja)
Microsoft Internet Explorer: igen, 8.0-tól (forrás?) - csak Windows 7 (forrás?)
Google Chrome/Chromium: nem (Chromium is NSS-t használ a TLS-hez)
Opera: igen, 10.0-tól
IBM HTTP Server: igen, v8.0-tól
Apache httpd: mod_ssl+OpenSSL: nem, mod_gnutls+GnuTLS (3rd party modul): igen
Microsoft IIS: igen, 7.5-től
Tehát összegezve a dolgot, leginkább a böngészőknél bukik meg a dolog. Amúgy meg lehet Operát használni Apache-csal... :(
Források
TLS (Wikipedia)
SHA-1 (Wikipedia)
SHA-2 (Wikipedia)
OpenSSL use all available ciphers
OpenSSL Changelog
Apache mod_ssl
NSS Overview
"The US Government has mandated the implementation of a minimum of SHA-256 for use in generation and validation of digital signatures by the end of 2012."