Computerbeveiliging - Hoe je bad guys buiten de deur houdt

SSL versie 'Security.nl' en BEAST

18-06-2012, 01:37 door Anoniem, 6 reacties
Daarnet met een tool van Qualys.com, de https versie van deze site gecontroleerd en zag dat deze kwetsbaar is voor 'Beast'.
Een pagina als bijv. https://duckduckgo.com is blijkbaar niet kwetsbaar voor de Beast aanval.

Duckduckgo: --https://www.ssllabs.com/ssltest/analyze.html?d=duckduckgo.com&s=184.72.115.86--
Security.nl: --https://www.ssllabs.com/ssltest/analyze.html?d=secure.security.nl

Waarin zit het verschil, bij de certificaten? Is het door de andere url gebruikt in het certificaat; secure.security.nl? Of is dat een simpelmans gedachte?
Of het verschil voor Ephemeral DH 1024 bits (p: 128, g: 1, Ys: 128), wat dat ook moge betekenen? (En wat betekent dat eigenlijk).

Anonetc
Reacties (6)
18-06-2012, 09:59 door 0101
Het probleem zit erin dat Security.NL gebruik maakt van TLS 1.0 (het probleem is opgelost in TLS 1.1, maar veel servers en ook sommige browsers zoals Firefox ondersteunen dat niet) in combinatie met AES-encryptie. Zie ook de uitleg van Qualys (https://community.qualys.com/blogs/securitylabs/2011/10/17/mitigating-the-beast-attack-on-tls).
18-06-2012, 15:29 door Anoniem
Verschil zit hem niet in de TLS versie. Beide sites ondersteunen dezelfde TLS versies. Daar zit de nieuwere, niet kwetsbare TLS 1.1 en hoger niet eens bij. Sowieso helpt dat niets, aangezien een Man in the Middle gewoon kan forceren dat er een lagere TLS versie gebruikt wordt. Tenzij je serverside alleen maar 1.1 en hoger ondersteunt, maar dan zit je met een behoorlijk groot compatibiliteitsprobleem.

Het verschil zit hem in de cipher suites. duckduckgo.com heeft een RC4 gebaseerd cipher als preferred staan en bij gebruik van RC4 is SSL/TLS niet kwetsbaar voor BEAST. Security.nl heeft dat niet.
18-06-2012, 15:34 door Anoniem
Dank voor je antwoord.
Het zit 'm dus in TLS versies die worden ondersteund door de bezochte site zelf en je browser.
Ik had de uitleg al gelezen, alleen als ik de link voor DuckDuckGo weer bekijk, dan staat daar dat op --https://www.ssllabs.com/ssltest/analyze.html?d=duckduckgo.com&s=184.72.115.86-- TLS1.1 en TLS1.2 juist niet wordt ondersteund...
Staat er dan dus noodzakelijkerwijs een fout op de pagina van Qualys of begrijp ik er gewoon niks van?

Groet, Anonetc
18-06-2012, 16:29 door Bitwiper
Door Anoniem: Daarnet met een tool van Qualys.com, de https versie van deze site gecontroleerd en zag dat deze kwetsbaar is voor 'Beast'.
Sites die mixed content (zowel https als http) aanbieden zijn bijzonder gevoelig voor BEAST aanvallen. En dat doet security.nl helaas nog steeds (zie https://secure.security.nl/artikel/39384/1/Security.nl_https_verbetering.html).

Of dit de reden is dat SSLLabs security.nl kwetsbaar voor BEAST vindt, weet ik niet.
18-06-2012, 17:22 door Anoniem
OK, mixed content is dus een vector.
(de reply hierboven is een reactie op de post van 0101.
Anonetc.
18-06-2012, 20:02 door 0101
Nogmaals voor de duidelijkheid: in principe is elke TLS-verbinding (TLS is de naam voor de opvolger van SSLv3) kwetsbaar voor BEAST, tenzij de verbinding gebruikt maakt van RC4-sleutels OF de verbinding loopt via TLS 1.1 of later.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search