security tls
Pregunta: Estoy probando un servidor web [propietario] que ofrece soporte SSL y dicen que es compatible con TLS 1.1 y 1.2, lo cual he verificado activando solicitudes desde IE con solo el protocolo de destino habilitado. Sin embargo, ¿cómo puedo comprobar si los protocolos TLS implementados en el servidor están libres de problemas de seguridad …
Pregunta: ¿La certificación SSL tiene algo que ver con la legitimidad del sitio web? ¿Los sitios web que lo tienen están bajo algún tipo de supervisión? En términos generales, ¿puede una empresa decir que sigue la ley porque su sitio web tiene certificación SSL? Respuesta: No. Está confundiendo un certificado SSL / TLS con algún …
Pregunta: Ya tenemos habilitada la reanudación de la sesión SSL usando un caché de sesión. Según un informe de rendimiento interno, se recomienda habilitar la reanudación de la sesión mediante Tickets de sesión. ¿El aumento de rendimiento obtenido de esto vale la pena el riesgo de seguridad adicional? (Por lo que tengo entendido, solo hay …
security tls – Reanudación de sesión SSL / TLS con tickets de sesión Read More »
Pregunta: Hay un cliente de escritorio A que se conecta al sitio web W en una conexión https A –> W De alguna manera entre A y W, hay un proxy G. A –> G –> W En este caso, ¿podrá G obtener el certificado que A obtuvo anteriormente de W? Si G puede obtener …
security tls – ¿Https previene los ataques man in the middle por el servidor proxy? Read More »
Pregunta: Con la llegada de CRIME, el sucesor de BEAST , ¿qué posible protección está disponible para un individuo y / o propietario de un sistema para protegerse a sí mismos y a sus usuarios contra este nuevo ataque a TLS? Respuesta: Se supone que este ataque se presentará dentro de 10 días, pero supongo …
security tls – CRIMEN – ¿Cómo vencer al sucesor de la BESTIA? Read More »
Pregunta: La administración de mi universidad nos está obligando a instalar el certificado SSL de Cyberoam Firewall para que puedan ver todo el tráfico encriptado para "mejorar nuestra seguridad". Si no instalo el certificado, no podré usar su red. ¿Cuáles son las formas en que puedo proteger mi privacidad en tal situación? ¿Usar una VPN …
Pregunta: Estoy haciendo una REST-API y es sencillo hacer un inicio de sesión de autenticación BÁSICO. Luego, deje que HTTPS asegure la conexión para que la contraseña esté protegida cuando se use la API. ¿Puede esto considerarse seguro? Respuesta: Hay algunos problemas con la autenticación básica HTTP: La contraseña se envía por cable en codificación …
security tls – ¿Es BASIC-Auth seguro si se realiza a través de HTTPS? Read More »
Pregunta: Estoy familiarizado superficialmente con SSL y lo que hacen los certificados. Recientemente vi una discusión sobre la fijación de certificados, pero no había una definición. Una búsqueda de DDG no arrojó nada útil. ¿Qué es la fijación de certificados? Respuesta: Normalmente, los certificados se validan comprobando la jerarquía de firmas; MyCert está firmado por …
security tls – ¿Qué es la fijación de certificados? Read More »
Pregunta: ¿Cuál es la diferencia entre los archivos de certificado .pfx y .cert ? ¿Distribuimos .pfx o .cert para la autenticación de clientes? Respuesta: Hay dos objetos: la clave privada , que es lo que el servidor posee, mantiene en secreto y utiliza para recibir nuevas conexiones SSL; y la clave pública que está matemáticamente …
security tls – Diferencia entre certificados .pfx y .cert Read More »
Pregunta: Hay un nuevo ataque reciente "en TLS" llamado "DROWN" . Entiendo que parece utilizar solicitudes SSLv2 incorrectas para recuperar claves estáticas (certificado). Mi pregunta es: ¿Cómo? ¿Cómo se pueden recuperar claves de firma o cifrado estático mediante SSLv2? Preguntas adicionales: ¿Cómo puedo evitar que el ataque se aplique a mí como administrador del servidor? …
