[LACNIC/Seguridad] Consulta análisis de tráfico SSL vs TLS
Carlos P
charly_en_el_trabajo en yahoo.com
Mar Dic 9 17:07:37 BRST 2014
Srs:
En pos de desactivar SSL en un sitio, debo analizar el nivel de impacto sobre los clientes.
El servidor ya está correctamente configurado para elegir TLS antes que SSL.
Por un lado, examinando los User-Agents puedo asegurar que el 89% soporta TLS, el 1.5% no soporta y 0.1% hay que activar(IE6). Queda un 9% del cual no tengo información clara, pero probablemente soporte, la mayor parte es algún tipo de Android.
Tras hacer ese análisis, pude acceder a un log que muestra que ciphersuite se utilizó y me dá 91.5% TLS y 8.5% SSL.
Yo "sé" que ese número está mal, pero los números no mienten. ¿Puede ser que con SSL no esté habiendo una suerte de keep-alive o reutilización de la sesión y por ello una parte de navegadores esté teniendo una proporción desproporcionada?
Gracias anticipadas
Carlos Pantelidesdev4secseguridad-agile.blogspot.com
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20141209/30674164/attachment.html>
Más información sobre la lista de distribución Seguridad