SSL - qual o motivo da desativação do suporte ao SSL v2?

8

Percebi muitos guias dizendo que você deve desativar o suporte ao SSL v2 ao configurar o SSL em um servidor da web.

Não consigo entender o motivo. Alguém pode me dizer por que, por favor?

dan
fonte

Respostas:

12

Wikipedia :

O SSL 2.0 tem falhas de várias maneiras: 1

  • Chaves criptográficas idênticas são usadas para autenticação e criptografia de mensagens.
  • O SSL 2.0 tem uma construção MAC fraca que usa a função de hash MD5 com um prefixo secreto, tornando-o vulnerável a ataques de extensão.
  • O SSL 2.0 não possui proteção para o handshake, o que significa que um ataque de downgrade intermediário pode não ser detectado.
  • O SSL 2.0 usa a conexão TCP próxima para indicar o final dos dados. Isso significa que os ataques de truncamento são possíveis: o invasor simplesmente cria um TCP FIN, deixando o destinatário inconsciente de uma mensagem ilegítima de final de dados (o SSL 3.0 corrige esse problema com um alerta de fechamento explícito).
  • O SSL 2.0 pressupõe um serviço único e um certificado de domínio fixo, que colidem com o recurso padrão de hospedagem virtual em servidores Web. Isso significa que a maioria dos sites está praticamente impedida de usar SSL. O TLS / SNI corrige isso, mas ainda não está implantado nos servidores Web.

1: http://en.wikipedia.org/wiki/Transport_Layer_Security#SSL_1.0.2C_2.0_and_3.0

user1686
fonte