SSL 2.0 en 3.0 vervangen voor TLS

Naar mijn weten geen nadelen, enkel voordelen. Alle moderne browsers ondersteunen TLS.

[ Voor 23% gewijzigd door Verwijderd op 19-05-2015 13:29 ]

supra_indo schreef op dinsdag 19 mei 2015 @ 13:25:
Van het internet word ik niet echt wijs dus ben benieuwd naar jullie ervaringen...

Dat is dan wel lastig want bijna het hele internet hangt aan elkaar van SSL/TLS dus er moet toch voldoende documentatie over te vinden zijn. Er zijn voor beiden zowel voor- als nadelen te noemen; ik mis alleen in de startpost welke je hebt gevonden, waarom je het een voor- of nadeel vindt en welke bronnen hier geen uitsluitsel over geven en waar je dus onze kennis voor nodig zou hebben.

Verwijderd schreef op dinsdag 19 mei 2015 @ 13:27:
Naar mijn weten geen nadelen, enkel voordelen. Alle moderne browsers ondersteunen TLS.

Dit. SSL v2 en v3 worden beschouwd als verouderd.

Wij hebben maanden geleden op onze servers SSLv2 en SSLv3 uitgeschakeld en slechts 1 klacht gehad van iemand die een verouderde client gebruikte om iets te benaderen. Dat is toen opgelost met een software update aan hun zijde. Lekker uitzetten dus.

supra_indo schreef op dinsdag 19 mei 2015 @ 13:51:
[...]


Dit betreft 2 servers waarvan 1 ook een Exchange/webmail server is... maakt dit alsnog niks uit? En hoeveel downtime moet ik rekenen voor het uitschakelen van 2.0 en 3.0 en TLS aanzetten?

Maakt niks uit

Hier SSL v2 en v3 (ook een paar maanden geleden) uitgezet zonder downtime.

Alleen de oudste troep heeft nog SSL2/3 nodig. Spul dat zou oud is heeft vrijwel zeker grote beveiligingsproblemen. Met dat soort systemen wil je dus eigenlijk toch al niet communiceren als het een beetje veilig moet zijn.

Hoe snel je kan omschakelen ligt vooral aan hoe snel jij het kan uitvoeren en hoe lang het duurt om de software te herstarten als die niet on-the-fly een nieuwe configuratie kan laden. Voor mij is het een paar seconde werk maar het zal het wel langer duren als je overal met de hand door heen moet klikken. Als je verder geen ervaring hebt met SSL/TLS en eerst de weg moet zoeken zal het wel lang duren.

SSL2 wordt overigens al jaren niet meer gebruikt.

Op deze site kun je voor een groot aantal user agents checken wat de capabilities zijn.

Overal waar TLS1.2 'yes' staat hoef je niet door te klikken, voor waar 'no' staat kun je dat wel doen. Bijvoorbeeld Windows XP ondersteunt geen TLS en zal niet meer met je server kunnen connecten. Ook niet als een client Firefox gebruikt.

Dat geldt alleen voor IE6 op XP.
Met IE8 kan XP wel connecten met TLS 1.0 hoor: https://www.ssllabs.com/s...=IE&version=8&platform=XP (niet dat het een goed plan is natuurlijk).

Je hebt gelijk, ik was verward met SNI. Dat wordt door geen enkele browser onder Windows XP geslikt, omdat het in het OS zit.

Dennis schreef op woensdag 20 mei 2015 @ 12:03:
Je hebt gelijk, ik was verward met SNI. Dat wordt door geen enkele browser onder Windows XP geslikt, omdat het in het OS zit.

Ook daar heb je het mis. Firefox gebruikt geen systeem libraries voor tls maar het eigen libnss en dat ondersteunt zowel tls 1.2 als sha256 en sni op alle os'en inclusief Windows xp.