it-swarm.com.de

Was sind die Anwendungsfälle für anonyme SSL-Cipher Suites?

SSL unterstützt mehrere anonyme Cipher Suites wie TLS_DH_anon_WITH_AES_256_GCM_SHA384. Wenn diese verwendet werden, wird keine Authentifizierung durchgeführt und es werden keine Zertifikate ausgetauscht. Dies bedeutet, dass Sie bei Verwendung einem Risiko für MitM-Angriffe ausgesetzt sind.

Bisher habe ich diese nur aktiviert gesehen, wenn jemand versehentlich jede einzelne Verschlüsselungssuite aktiviert hat. Heute habe ich festgestellt, dass im landesweiten Online-Banking ein einzelne anonyme Verschlüsselungssuite aktiviert vorhanden ist.

Dies lässt mich glauben, dass es absichtlich und nicht versehentlich hinzugefügt wurde.

Was sind die Anwendungsfälle für anonyme Cipher Suites auf einer Website?

11
Cybergibbons

Was sind die Anwendungsfälle für anonyme Cipher Suites auf einer Website?

Keiner. Dies ist nur ein schwerwiegender Fehler, und daher ist die Note auf F begrenzt. Keiner der Browser bietet anonyme Verschlüsselungssuiten (zumindest standardmäßig), sodass auf diese Weise keine Verbindung mit einem Browser hergestellt wird. Es kann jedoch durchaus sein, dass einige Mobile-Banking-Apps denselben Fehler machen.

8
Steffen Ullrich

Dass TLS eine solche Fähigkeit enthält, ist nicht ohne Grund.

Es sorgt für Vertraulichkeit, ohne dass eine Zertifizierungsstelle erforderlich ist. Ein Endpunkt muss so konfiguriert sein, dass er sich merkt, welche Zertifikate akzeptiert werden und nicht welche Zertifizierungsstellen akzeptiert werden. Dies ist ein völlig anderes Vertrauensmodell als das im Internet allgemein verwendete und sollte nicht auf einer öffentlichen Website verwendet werden.

Ich würde nicht erwarten, dass diese Chiffre in einem Browser verfügbar ist.

10
symcbean