सवाल Poodle: सर्वर पर वास्तव में एक समाधान एसएसएल वी 3 अक्षम कर रहा है?


मैं पूरे दिन पूडल भेद्यता के बारे में पढ़ रहा हूं और अब मैं थोड़ी उलझन में हूं बनाम सुरक्षा और राजस्व।

यदि मैं सर्वर पर SSL V3 अक्षम करता हूं (SSL V2 और V3 दोनों अपाचे के लिए अक्षम कर दिए जाएंगे) क्लाइंट (ब्राउज़र) जो किसी भी प्रोटोकॉल का समर्थन नहीं करते हैं लेकिन SSL V3 सर्वर के साथ HTTPS को कनेक्ट करने में सक्षम नहीं होगा।

तो यह स्थिति है जहां क्लाइंट और सर्वर दोनों को टीएलएस 1.1 1.2 के साथ संवाद करना चाहिए और इसी तरह

यदि उनमें से कोई भी एसएसएल वी 3 का उपयोग करता है और दूसरा निम्न संस्करणों का समर्थन नहीं करता है तो क्या होता है? एसएसएल से कोई कनेक्शन नहीं।

मैंने फ़ायरफ़ॉक्स में किए गए कुछ अपडेट देखे हैं, शायद उन्होंने एसएसएल वी 3 को अक्षम कर दिया है जिसमें हमें आमतौर पर विकल्पों में क्या करना है। इससे सभी कनेक्शन कम संस्करणों और टीएलएस को मजबूर कर देंगे

लेकिन एसएसएल वी 3 वास्तव में इस समस्या के लिए एक समाधान अक्षम कर रहा है?


40
2017-10-17 04:54


मूल


इसका मतलब क्या है "यह सभी कनेक्शन को निम्न संस्करणों और टीएलएस के लिए मजबूर करेगा"? SSLv1 और SSLv2 को लंबे समय से अक्षम कर दिया गया है क्योंकि वे टूट गए हैं। एसएसएलवी 3 पर फंसे हुए हैं लेकिन कई मामलों में विरासत सॉफ्टवेयर का समर्थन करने के लिए सक्षम रहे। आप किस निचले संस्करण का जिक्र कर रहे हैं? TLSv1.0, v1.1, v1.2, ... बाद के मानकों हैं और "उच्च संस्करण एसएसएल" माना जा सकता है, केवल संस्करण संख्या नाम परिवर्तन के साथ रीसेट कर दिए गए थे। - Håkan Lindqvist
हाय, तो अब तक जो मैंने समझा है, वह है यदि मैं Red Hat द्वारा अनुशंसित सर्वर पर SSL V3 और V2 को अक्षम करता हूं, तो सुरक्षित कनेक्शन TLS प्रोटोकॉल पर होगा। और यदि ब्राउज़र सर्वर के साथ टीएलएस पर कॉल कर रहे हैं तो सुरक्षित कनेक्शन में कोई समस्या नहीं होगी। मेरे पास अंतर बी / डब्ल्यू एसएसएल और टीएलएस संस्करणों के बारे में सटीक जानकारी नहीं है .. - sandeep.s85


जवाब:


सबसे पहले, चीजों को थोड़ा सा साफ़ करें:

  • टीएलएस ने एसएसएल का अधिग्रहण किया। टीएलएस 1.0 के बाद आया और एसएसएल 3.0 के लिए एक अद्यतन है।

    टीएलएस 1.2> टीएलएस 1.1> टीएलएस 1.0> एसएसएल 3.0> एसएसएल 2.0> एसएसएल 1.0

  • 3.0 से पहले एसएसएल संस्करणों को थोड़ी देर के लिए गंभीर सुरक्षा भेद्यताएं ज्ञात हैं और आधुनिक ग्राहकों और सर्वरों द्वारा अक्षम / समर्थित नहीं हैं। एसएसएल 3.0 जल्द ही उसी तरह से जाना होगा।

  • वर्तमान में प्रयुक्त प्रोटोकॉल में, "पूडल" सबसे गंभीर रूप से एसएसएल 3.0 को प्रभावित करता है, जहां कम करने का कोई तरीका नहीं है। वहां एक है समान हमला कुछ टीएलएस 1.0 और 1.1 के खिलाफ कार्यान्वयन कि spec अनुमति देता है - सुनिश्चित करें कि आपका सॉफ़्टवेयर अद्यतित है।


अब, "पूडल" का कारण आधुनिक ग्राहकों के साथ भी जोखिम है और सर्वर फॉलबैक तंत्र के ग्राहकों के कार्यान्वयन के कारण हैं। सभी सर्वर नवीनतम संस्करणों का समर्थन नहीं करेंगे, इसलिए क्लाइंट प्रत्येक संस्करण को सबसे कम से कम हालिया (टीएलएस 1.2, टीएलएस 1.1, टीएलएस 1.0, एसएसएल 3.0) से क्रमबद्ध करने के लिए प्रयास करेंगे जब तक कि यह सर्वर को समर्थन न दे। ऐसा होता है से पहले एन्क्रिप्टेड संचार शुरू होता है, इसलिए एक मैन-इन-द-बीच (एमआईटीएम) हमलावर ब्राउजर को पुराने संस्करण में वापस आने के लिए बाध्य करने में सक्षम होता है, भले ही सर्वर एक उच्च का समर्थन करता हो। इसे प्रोटोकॉल डाउनग्रेड हमले के रूप में जाना जाता है।

विशेष रूप से, "पूडल" के मामले में, जब तक क्लाइंट और सर्वर दोनों एसएसएल 3.0 का समर्थन करते हैं, एक एमआईटीएम हमलावर इस प्रोटोकॉल के उपयोग को मजबूर करने में सक्षम है।

तो जब आप SSL 3.0 अक्षम करते हैं, तो इसके दो प्रभाव होते हैं:

  • उच्च संस्करणों का समर्थन करने वाले क्लाइंट को कमजोर संस्करण पर वापस गिरने में धोखा नहीं दिया जा सकता है (टीएलएस फॉलबैक एससीएसवी प्रोटोकॉल डाउनग्रेड हमले को रोकने के लिए एक नया प्रस्तावित तंत्र है, लेकिन सभी क्लाइंट और सर्वर अभी तक इसका समर्थन नहीं करते हैं)। यही कारण है कि आप SSL 3.0 को अक्षम करना चाहते हैं। आपके ग्राहकों का विशाल बहुमत इस श्रेणी में पड़ सकता है, और यह फायदेमंद है।

  • ग्राहक जो ऐसा न करें टीएलएस का समर्थन करें (जैसा कि अन्य ने उल्लेख किया है, एक्सपी पर आईई 6 अभी भी एचटीटीपीएस के लिए उपयोग किया जाने वाला एकमात्र है) एन्क्रिप्टेड कनेक्शन से कनेक्ट नहीं हो पाएगा। यह संभवतः आपके उपयोगकर्ताबेस का एक मामूली हिस्सा है, और यह अल्पसंख्यक को पूरा करने के लिए अद्यतित बहुमत की सुरक्षा का त्याग करने लायक नहीं है।


53
2017-10-17 11:41



हाय बॉब, यह ऐलिस यहाँ है। मैलेट कैसे पूडल का उपयोग कर सकता है इस बारे में आपकी व्याख्या की तरह। - BatteryBackupUnit
+1 प्रोटोकॉल डाउनग्रेड हमले के बारे में नहीं पता था। - developerwjk
अद्यतन करें: "...everything less than TLS 1.2 with an AEAD cipher suite is cryptographically broken, including many implementations which conform to current specifications."  zdnet.com/article/poodle-not-fixed-some-tls-systems-vulnerable - BlueCacti
@ग्राउंड जीरो > लेकिन यह पता चला है कि ऐसा करने की क्षमता के बावजूद कुछ टीएलएस कार्यान्वयन अभी भी पैडिंग बाइट्स की जांच नहीं करते हैं। => विशेष रूप से, जबकि टीएलएस 1.0 और 1.1 कार्यान्वयन टूटा जा सकता है (और कल्पना की अनुमति देता है उन्हें इस फैशन में तोड़ने के लिए, जो अच्छा नहीं है), यह एसएसएल 3.0 के रूप में बुरा नहीं है खुद ही कल्पना टूट गया था और इसके आसपास काम करने के लिए एक अनुरूप कार्यान्वयन के लिए कोई रास्ता नहीं था। साथ ही, सर्वर पर टीएलएस 1.0 और 1.1 समर्थन "बंद करना" एसएसएल 3.0 को बंद करने की तुलना में एक कठिन समस्या है - आप अपने उपयोगकर्ताओं के बहुत बड़े अनुपात को प्रभावित करेंगे। - Bob
ऐसा लगता है कि यह मुख्य रूप से सर्वर-साइड कार्यान्वयन है जो कमजोर (?) हैं - सर्वर पर अपने टीएलएस कार्यान्वयन को ठीक करें, और आपको ठीक होना चाहिए (?) [मैंने यह सुनिश्चित करने के लिए पर्याप्त नहीं देखा है कि ब्राउज़र और अन्य क्लाइंट अप्रभावित हैं , लेकिन आपके लिंक किए गए आलेख और उसके स्रोत में शब्द यह सुझाव देते हैं कि]। - Bob


आपका मूल्यांकन सही है। एक बार जब आप SSL 3 अक्षम करते हैं तो क्लाइंट को आपके सर्वर से कनेक्ट करने के लिए नए प्रोटोकॉल का उपयोग करने की आवश्यकता होगी। SSL 3 प्रोटोकॉल त्रुटिपूर्ण है, और कोई "पैच" नहीं होगा। एसएसएल 3 को अक्षम करना एकमात्र समाधान है।

इस बिंदु पर, कई साइटों ने एसएसएल 3 को अक्षम कर दिया है, ताकि यह लगभग अनिवार्य हो सके कि पुराने ब्राउज़र के उपयोगकर्ताओं को अपग्रेड करना होगा। मान लें कि आप उपयोगकर्ता एजेंट स्ट्रिंग लॉगिंग कर रहे हैं, आप अपने लॉग की समीक्षा कर सकते हैं और एसएसएल 3 को अक्षम करने के बारे में एक सूचित निर्णय ले सकते हैं। मुझे लगता है कि यह संभव है कि आपकी साइट के विज़िटर का केवल एक छोटा प्रतिशत ब्राउज़र का उपयोग कर रहे हैं जो नए प्रोटोकॉल को संभालने में असमर्थ होंगे।

[fwiw - क्लाउडफ्लारे रिपोर्ट 1.12% उपयोगकर्ता आईएस 6 एक्सपी उपयोगकर्ता एसएसएलवी 3 के आधार पर हैं]


27
2017-10-17 05:01



हालांकि यह सच है कि एसएसएलवी 3 त्रुटिपूर्ण है, और केवल एक ही है असली समाधान एसएसएलवी 3 को अक्षम करना है। पूडल हमले के लिए भी एक शमन है जिसे एसएसएलवी 3 को अक्षम करने की आवश्यकता नहीं है, अगर आप टीएलएस 1.0 क्लाइंट के लिए आरसी 4 सिफर स्वीकार कर सकते हैं, क्योंकि पूडल केवल सीबीसी मोड सिफर (एईएस) को प्रभावित करता है। मैंने इसे यहां वर्णित किया है: serverfault.com/q/637848/249649 - cypres
TLS_FALLBACK_SCSV हालांकि, पुराने ग्राहकों के लिए हमले को कम नहीं कर रहा है। यह पुराने ग्राहकों को नए ग्राहकों के लिए अवांछनीय प्रोटोकॉल संस्करण डाउनग्रेड को रोकने के दौरान त्रुटिपूर्ण प्रोटोकॉल का उपयोग जारी रखने की अनुमति दे रहा है। अंत में, किसी भी क्लाइंट के लिए एसएसएलवी 3 सक्षम होने से संभावित रूप से हमलावरों को अपना ट्रैफिक उजागर कर रहा है। - Evan Anderson
आरसी 4 पुराने ग्राहकों के लिए इस हमले को कम कर रहा है, एसएसएसवी नहीं। लेकिन हम आरसी 4 का उपयोग नहीं करते हैं, यही कारण है कि मैं भी संभवतः एसएसएलवी 3 को अक्षम करने की सलाह देता हूं। - cypres
@cypres - हाँ - 'TLS_FALLBACK_SCSV' पुराने ग्राहकों की सहायता नहीं करता है। मैं तर्क दूंगा कि एक सिफर का उपयोग करके गंभीर कमजोरियों को दिखाया गया है या तो सहायक नहीं है। हमें इसे "ध्वज दिवस" ​​होने की आवश्यकता है जो 'नेट से एसएसएल 3.0 को समाप्त करता है। निश्चित रूप से - अगर आपके पास पुराने उपकरण, एम्बेडेड डिवाइस आदि हैं, जो आपके एंटरप्राइज़ के अंदर टीएलएस का समर्थन नहीं करते हैं तो एसएसएल 3.0 चलाने के लिए स्वतंत्र महसूस करें। मुझे लगता है कि किसी को भी इंटरनेट इंटरनेट पर एसएसएल 3.0 का उपयोग जारी रखने के लिए प्रोत्साहित करना गैर जिम्मेदार है। - Evan Anderson
आज मैंने फ़ायरफ़ॉक्स पर एसएसएलवी 3 को अक्षम कर दिया और केवल टीएलएस की अनुमति दी और मुझे इंटरनेट पर वेबसाइट ब्राउज़ करते समय एसएसएल कनेक्शन के मुद्दों की उचित मात्रा दिखाई देती है। मैं सैकड़ों लिनक्स सर्वर का समर्थन कर रहा हूं जहां एसएसएलवी 3 सक्षम है। मैं गलत हो सकता हूं लेकिन इस स्थिति का अंतिम समाधान तब तक है जब तक ओएस विक्रेता पैच जारी नहीं करते हैं ताकि क्लाइंट एंड पर कुछ भी नहीं किया जाना चाहिए। समस्या यह है कि आप प्रभाव की भविष्यवाणी नहीं कर सकते हैं। - sandeep.s85


हां, एसएसएल 3 को अक्षम करने से यह सुनिश्चित हो जाएगा कि जो उपयोगकर्ता टीएलएस का समर्थन नहीं करते हैं वे आपकी वेबसाइट तक नहीं पहुंच सकते हैं।

हालांकि, एक व्यावहारिक दृष्टिकोण से, देखें कि उस श्रेणी में कौन से ब्राउज़र गिरते हैं। क्रोम और फ़ायरफ़ॉक्स दोनों टीएलएस का समर्थन करते हैं और इस बग के कारण पूरी तरह से SSL3 समर्थन छोड़ने जा रहे हैं। आईई 7 के बाद आईई ने इसका समर्थन किया है। एकमात्र ब्राउज़र जिसका समर्थन नहीं है, लेकिन अभी भी वैश्विक स्तर पर उपयोग किया जाता है, आईई 6 है, और अभी भी उपयोग किया जाने वाला एकमात्र कारण 2 कारण है:

  1. XP के क्रैक किए गए संस्करण वाले किसी भी व्यक्ति और क्रोम या फ़ायरफ़ॉक्स का उपयोग करने का कोई तरीका नहीं;
  2. ब्राउज़र पसंद के संबंध में प्रतिबंधों के साथ कॉर्पोरेट या सरकारी नीति पर कोई भी।

इन दोनों मामलों में, आईई 6 का उपयोग किया जाता है क्योंकि यह मूल इंस्टॉल के साथ आता है जो डिफ़ॉल्ट विंडोज एक्सपी ब्राउज़र है। इसके अलावा, चीन में कई उपयोगकर्ताओं की वजह से आईई 6 में अभी भी एक छोटा सा वैश्विक बाजार हिस्सा है।

तो, लंबी कहानी छोटी: यहां 3 प्रश्न हैं:

  1. क्या आपके पास एक महत्वपूर्ण चीनी उपयोगकर्ताबेस है?
  2. क्या आपकी वेबसाइट IE6 के लिए समर्थन प्रदान करती है, भले ही यह पुरातन और टूटा हुआ हो?
  3. क्या आपकी वेबसाइट किसी उत्पाद या निगम द्वारा ब्राउजर पसंद प्रतिबंधों के साथ उपयोग की जाने वाली उत्पाद है?

यदि इनमें से कोई भी 3 सत्य है, तो आपको एक वैकल्पिक समाधान मिलना होगा। यदि सभी 3 झूठे हैं, तो बस इसे अक्षम करें और इसके साथ किया जाए। और यदि आपको वैकल्पिक समाधान की आवश्यकता है, तो क्या आप अपने उपयोगकर्ताबेस के उस छोटे हिस्से को मनाने के लिए सबसे कठिन हैं जो अभी भी 13 वर्षीय ब्राउज़र से दूर स्विच करने के लिए IE6 का उपयोग करता है।


20
2017-10-17 09:52





आपने जिक्र किया "अमरीका की एक मूल जनजाति" तथा "ब्राउज़रों"आपके प्रश्न में, लेकिन शीर्षक अधिक सामान्य है।

चूंकि इवान और अन्य बताते हैं, समस्या एचटीटीपीएस के लिए सभी तरह की है। लेकिन ऐसे कई अन्य प्रोटोकॉल हैं जो एक सर्वर एन्क्रिप्ट कर सकते हैं, और टीएलएस समर्थन उस क्लाइंट बेस के बीच बहुत गरीब है (जैसा कि मैंने आज सुबह पाया, जब IMAP / S सर्वर पर "कोई SSL3" अनिवार्य नहीं है)।

तो मुझे डर है कि जवाब है "यह इस बात पर निर्भर करता है कि आप कौन सी सेवाओं को एन्क्रिप्ट करते हैं, और ग्राहक आपके उपयोगकर्ता आधार के बीच टीएलएस के लिए समर्थन करते हैं"।

संपादित करें: हाँ, यह मेरा मुद्दा था, हालांकि मुझे खुशी है कि आप सहमत हैं। Sslv3 को बंद करना सेवा-दर-सेवा आधार पर किया जाता है। उदाहरण के लिए, कबूतर पर इसे बंद करने का तरीका रखना है

ssl_cipher_list = ALL:!LOW:!SSLv2:!SSLv3:!EXP:!aNULL

में dovecot.conf। बड़ी समस्या यह है कि जब अधिकांश ब्राउज़र एसएसएलवी 3 के नुकसान की सहनशील होते हैं, तो अन्य सेवाओं के ग्राहक बहुत कम सहिष्णु प्रतीत होते हैं। मैंने आज सुबह अपने आधा उपयोगकर्ताओं को तोड़ दिया जब मैंने इसे कबूतर पर बंद कर दिया; के -9 मेल चलाने वाले एंड्रॉइड फोन और विन 7 पर आउटलुक दो हैं जिन्हें मैं निश्चित रूप से जानता हूं, लेकिन मैं अपने लॉग से देख सकता हूं और अधिक थे।

एसएसएलवी 3 बंद करना अभी भी एक वैध समाधान नहीं है, यह है केवल उपाय; लेकिन यह चोट पहुंचाने जा रहा है।

2 संपादित करें: dave_thompson_085 को यह इंगित करने के लिए धन्यवाद कि डवेकॉट में SSLv3 सिफर को अक्षम करने से केवल SSLv3 प्रोटोकॉल अक्षम नहीं होता है, लेकिन TLSv1.0 और TLSv1.1 भी ठीक है, क्योंकि उनके पास कोई सिफर नहीं है जो पहले प्रोटोकॉल नहीं करता है। डोवकोट (कम से कम, पहले के संस्करण, जिसमें मैं दौड़ रहा हूं) में सिफरर्स के बजाय प्रोटोकॉल को कॉन्फ़िगर करने की क्षमता की कमी है। यह शायद बताता है कि ऐसा क्यों कर रहा है इतने सारे ग्राहकों को तोड़ दिया।


7
2017-10-17 11:49



मैंने अब भी पढ़ा है कि इससे न केवल वेब सर्वर पर असर पड़ेगा बल्कि सर्वर पर चल रही कोई भी सेवा जो एसएसएल यानी वेब सर्वर, एलडीएपी सर्वर, एसएसएच डिमन्स, पीओपी 3 सर्वर, एसएमटीपी सर्वर का उपयोग करेगी, इसलिए वेब सर्वरों के लिए हमारे पास अपाचे में कॉन्फ़िगरेशन है mod_ssl कॉन्फ़िगरेशन फ़ाइल SSLProtocol All -SSLv2 -SSLv3 के रूप में हमें अन्य सेवाओं को देखने की आवश्यकता है साथ ही हम क्लाइंट / सर्वर को SSLv3 का उपयोग करने से कैसे रोक सकते हैं - sandeep.s85
जैसा कि वर्णित वास्तविक लकड़ी का हमला है सुरक्षा सलाहकार, हमलावर से नियंत्रण की कुछ क्षमता के साथ किए गए उचित राशि अनुरोधों पर निर्भर करता है। एचटीटीपीएस और ब्राउज़रों के संदर्भ में जो स्क्रिप्टिंग के लिए व्यवहार्य है लेकिन उदाहरण के लिए आईएमएपीएस के संदर्भ में मुझे विश्वास नहीं है कि यह एक व्यावहारिक बात है। बोर्ड में एसएसएलवी 3 से छुटकारा पाने के लिए निश्चित रूप से आदर्श है लेकिन मुझे यकीन नहीं है कि विशेष रूप से पुडल इन सभी मामलों में से कुछ के लिए प्रासंगिक है। - Håkan Lindqvist
हकन, समय बीतने के बाद, मैं आपके साथ समझौते में अधिक से अधिक हूं। - MadHatter
अक्षम करना सिफर  !SSLv3 openssl में वास्तव में TLSv1.2 को छोड़कर सभी प्रोटोकॉल को अक्षम करता है, जो आपके साथियों के लिए अच्छा नहीं हो सकता है। यही कारण है कि अक्षम करना मसविदा बनाना बेहतर है, लेकिन AFAICS केवल 2.12 में dvecot में। देख security.stackexchange.com/questions/71872/... । - dave_thompson_085
@ dave_thompson_085: जब आप कहते हैं "अक्षम ... openssl में", क्या मतलब है आपका "अक्षम करना ... कबूतर में"यदि हां, तो मैं आपसे सहमत हूं, और यदि आप अनुरोध के रूप में स्पष्टीकरण दे सकते हैं, तो मैं इस जानकारी के प्रकाश में अपना जवाब संशोधित करूंगा। - MadHatter


एसएसएलवी 3 को अक्षम करना है श्रेष्ठ समाधान, लेकिन मैं सहमत नहीं हूं कि यह एकमात्र समाधान है। जैसा क्लाउडफ्लारे का वर्णन है, एसएसएलवी 3 उपयोग बहुत कम है, इसलिए अधिकांश प्रशासकों को इसे बंद करने में कोई समस्या नहीं होनी चाहिए।

यदि आपके पास SSLv3 के लिए एक विशेष आवश्यकता है, तो शायद आपको Windows XP पर IE6 का समर्थन करना आवश्यक है, या आपको बहुत पुराने सॉफ़्टवेयर का समर्थन करने की आवश्यकता है, तो इसे कम करने का एक और तरीका है।

इसे कम करने का तरीका, और एसएसएलवी 3 रखना, आरसी 4 का उपयोग करना और टीएलएस फॉलबैक एससीएसवी का समर्थन करना है, जो ओपनएसएसएल 1.0.1j द्वारा प्रदान किया जाता है। में Poodle पर qualys पोस्ट, आरसी 4 "कुछ असुरक्षित धारा सिफर है जिसका नाम कोई भी उल्लेख नहीं करना चाहता"।

यह google.google.com पर Google करता है, और वे ब्लॉग प्रविष्टि में इसका वर्णन भी करते हैं: http://googleonlinesecurity.blogspot.se/2014/10/this-poodle-bites-exploiting-ssl-30.html


6
2017-10-17 15:58



मुझे सच में यकीन नहीं है कि कौन सा बुरा है, सिस्टम को पूडल के लिए खुला या आरसी 4 में डाउनशिफ्टिंग छोड़ रहा है ... - Brian Knoblauch
टीएलएस 1.1+ का समर्थन करने वाले ग्राहक आरसी 4 के लिए डाउनशिफ्ट नहीं करते हैं। मैं कोई विशेषज्ञ नहीं हूं, लेकिन मेरा मानना ​​है कि पूडल खराब है। - cypres
आरसी 4 अनिवार्य रूप से रॉ क्लेरटेक्स्ट के लिए खड़ा नहीं है? - Hagen von Eitzen
निश्चित रूप से आप मजाक कर रहे हैं, लेकिन एक वैध बिंदु उठाओ। यह बुरी तरह टूटा नहीं है, यह सुरक्षा पर इस पर एक अच्छा जवाब है: security.stackexchange.com/a/32498 - cypres


वार्तालाप से एक विवरण गायब है, मूल प्रश्न के आधार पर इसे नोट करना एक अच्छा विचार हो सकता है। टीएलएस 1.0 को एसएसएल 3.1 के रूप में भी जाना जाता है, इसलिए मूल पोस्टर, आपको अपनी कॉन्फ़िगरेशन देखना चाहिए, क्या आप v3.0 या v3.1 चला रहे हैं


2
2017-10-19 21:52





ज्यादातर चीजों के साथ, जवाब "यह निर्भर करता है"। किसी भी प्रकार के "सामान्य" उपयोग में एकमात्र ब्राउज़र जो टीएलएस का समर्थन नहीं करता है आईई 6 है। दुर्भाग्यवश, विभिन्न रिपोर्टों का कहना है कि आईई 6 वैश्विक HTTP अनुरोधों के कुछ प्रतिशत के रूप में हो सकता है (देखें: http://news.netcraft.com/archives/2014/10/15/googles-poodle-affects-oodles.html)। अच्छी खबर, अगर उत्तरी अमेरिका में, यह है कि यह अमेरिका में अपेक्षाकृत असामान्य है। सुरक्षित होने के लिए, आपको अपने www लॉग से उपयोगकर्ता एजेंट आंकड़े देखना चाहिए। मेरे मामले में, बहुत कम आईई 6 उआ उंगली प्रिंट थे जो मुझे लगा कि वे सभी परीक्षण उपकरण से थे।

आप एसएसएलएबी के परीक्षक के साथ अपनी वेबसाइट का परीक्षण कर सकते हैं यह देखने के लिए कि विभिन्न एजेंट कैसे प्रतिक्रिया करते हैं।

https://www.ssllabs.com/ssltest/

टीएल; डीआर - एसएसएलवी 3 मर चुका है; लंबे समय तक रहने वाले टीएलएस।


-3
2017-10-17 05:06



आईई 6 एक्सपी के साथ संगत अंतिम संस्करण नहीं है, यह संस्करण है जिसे एक्सपी भेज दिया गया है। आईई 8 एक्सपी के साथ संगत अंतिम संस्करण है। - Håkan Lindqvist
-1 आईई 6 का संकेत देने वाली वास्तविक गलती के कारण एक्सपी पर नवीनतम संस्करण है। - TomTom
may be as much as a few percent of global HTTP requests। मुझे इसके लिए एक स्रोत चाहिए। क्लाउडफ्लेयर इसका उपयोग के बारे में कहता है: In other words, even on an out-of-date operating system, 98.88% Windows XP users connected using TLSv1.0+ (blog.cloudflare.com/...)। जो विश्व स्तर पर "कुछ प्रतिशत" से काफी कम है। - faker
मुझे संदेह है कि क्लाउडफ्लारे ग्राहक ज्यादातर उत्तरी अमेरिकी कंपनियां हैं। उद्धृत की गई स्थिति नेटक्राफ्ट से आई थी: news.netcraft.com/archives/2014/10/15/... "विंडोज एक्सपी के लिए इसकी उम्र और माइक्रोसॉफ्ट के समर्थन के अंत के बावजूद, आईई 6 लोकप्रिय है, दुनिया भर में 3.8% वेब विज़िट और चीन में 12.5% ​​के लिए लेखांकन। यह भेद्यता आईई 6 और विंडोज एक्सपी के लिए मौत की घंटी बज सकती है।" - Joshua Hoblitt