El soporte para Perfect Forward Secrecy (PFS) varió significativamente entre los distintos navegadores: sólo una pequeña fracción de las conexiones SSL de Internet Explorer trabajaron con PFS; mientras que Google Chrome, Opera y Firefox estuvieron protegidos en aproximadamente un tercio de las conexiones. Safari se desempeñó solo un poco mejor que Internet Explorer.
Internet Explorer se desempeña pobremente ya que no soporta ninguna suite de cifrado que use tanto llaves Públicas RSA como intercambio de llaves DH de curvas no elípticas, lo que incluye la suite de cifrado PFS más popular. Además, las suites de cifrado PFS soportadas por IE tienen una prioridad más baja que algunas de las suites no-PFS. Curiosamente, IE soporta DHE-DSS-AES256-SHA, el cual usa el poco usual método de autentificación DSS, pero no soporta el muy popular DHE-RSA-AES256-SHA.
Browser priority | Cipher Suite | Real-world usage in SSL Survey |
---|---|---|
1 | AES128-SHA | 63.52% |
2 | AES256-SHA | 2.21% |
3 | RC4-SHA | 17.12% |
4 | DES-CBC3-SHA | 0.41% |
5 | ECDHE-RSA-AES128-SHA | 0.08% |
6 | ECDHE-RSA-AES256-SHA | 0.21% |
7 | ECDHE-ECDSA-AES128-SHA | 0.00% |
8 | ECDHE-ECDSA-AES256-SHA | 0.00% |
9 | DHE-DSS-AES128-SHA | 0.00% |
10 | DHE-DSS-AES256-SHA | 0.00% |
11 | EDH-DSS-DES-CBC3-SHA | 0.00% |
12 | RC4-MD5 | 16.46% |
El orden de prioridad de la suite de cifrado de Internet Explorer 10 y
la suite de cifrado real encontrada en la encuesta SSL de Netcraft. Las
suites de cifrado PFS están resaltadas en negritas.
Safari soporta muchas suites de cifrado PFS pero solo recurre a las de curvas no elípticas como último recurso. Ya que los cifrados no-PFS tienen prioridades más altas, los webservices van a respetar las preferencias del explorador y los seleccionarán primero, incluso cuando ellos mismos soporten suites de cifrados (de curvas no elípticas) PFS.
Chrome, Firefox, y Opera se desempeñaron mucho mejor, dando preferencia, en cualquier nivel de fortaleza a las suites de cifrado PFS. Por ejemplo: la lista de preferencias de Opera empieza: DHE-RSA-AES256-SHA, DHE-DSS-AES256-SHA, AES256-SHA, DHE-RSA-AES128-SHA, DHE-DSS-AES128-SHA, AES128-SHA.
NetCraft no incluyó en la prueba, ninguna suite de cifrado que sólo esté presente en TLS 1.2, lo que incluye muchas de las suites de cifrado PFS de Opera, por lo que los resultados de este explorador son inferiores en el número de sitios SSL reales que utilizan PFS.
Ninguno de los exploradores cambió su interfaz de usuario notablemente para reflejar la presencia de PFS como lo sí harían para certificados EV (donde generalmente muestran una barra de direcciones de color verde). Google Chrome y Opera sí muestran la suite de cifrado utilizada (en ventanas emergentes o cuadros de diálogos), pero se basan en que el usuario entienda las implicaciones de mensajes como "... se utiliza ECDHE_RSA como el mecanismo de intercambio de llaves...".
Continuará...
Traducción: Mauro Gioino de la Redacción de Segu-InfoFuente: Netcraft
0 comentarios:
Publicar un comentario