In Rilievo Discussione su Firefox - Thunderbird

[ERCOLINO]

Bene

 

[Bobbys]

E' anche possibile disattivare le cifrature considerate non sicure, in modo che tutti i siti web in HTTPS possono negoziare con il vostro browser solo con cifrature sicure che supportano il Forward Secrecy

Nel test vengono segnalate in arancione e su Firefox, vi dovrebbe segnalare attive queste 3 cifrature non sicure

TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) WEAK 128
TLS_RSA_WITH_AES_256_CBC_SHA (0x35) WEAK 256
TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) WEAK 112

Volendo si possono disabilitare

security.ssl3.rsa_aes_128_sha -> false
security.ssl3.rsa_aes_256_sha -> false
security.ssl3.rsa_des_ede3_sha -> false


TLS 1.3 Yes
TLS 1.2 Yes
TLS 1.1 No
TLS 1.0 No
SSL 3 No
SSL 2 No

TLS_AES_128_GCM_SHA256 (0x1301) Forward Secrecy 128
TLS_CHACHA20_POLY1305_SHA256 (0x1303) Forward Secrecy 256
TLS_AES_256_GCM_SHA384 (0x1302) Forward Secrecy 256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b) Forward Secrecy 128
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) Forward Secrecy 128
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 (0xcca9) Forward Secrecy 256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (0xcca8) Forward Secrecy 256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02c) Forward Secrecy 256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) Forward Secrecy 256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (0xc00a) Forward Secrecy 256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xc009) Forward Secrecy 128
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) Forward Secrecy 128
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) Forward Secrecy 256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x33) Forward Secrecy 128
TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x39) Forward Secrecy 256
(1) When a browser supports SSL 2, its SSL 2-only suites are shown only on the very first connection to this site. To see the suites, close all browser windows, then open this exact page directly. Don't refresh.

 

[LadyJay]

Qua potete fare un test del vostro browser

https://www.ssllabs.com/ssltest/viewMyClient.html

Ho utilizzato questo link. Ma sul TSL 1.3 mi dice ancora no (ho aggiornato ff al 61).
Cosa devo fare perché mi dica sì?

 

[ERCOLINO]

security.ssl3.rsa_aes_128_sha -> false
security.ssl3.rsa_aes_256_sha -> false
security.ssl3.rsa_des_ede3_sha -> false


TLS 1.3 Yes
TLS 1.2 Yes
TLS 1.1 No
TLS 1.0 No
SSL 3 No
SSL 2 No

TLS_AES_128_GCM_SHA256 (0x1301) Forward Secrecy 128
TLS_CHACHA20_POLY1305_SHA256 (0x1303) Forward Secrecy 256
TLS_AES_256_GCM_SHA384 (0x1302) Forward Secrecy 256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b) Forward Secrecy 128
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) Forward Secrecy 128
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 (0xcca9) Forward Secrecy 256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (0xcca8) Forward Secrecy 256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02c) Forward Secrecy 256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) Forward Secrecy 256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (0xc00a) Forward Secrecy 256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xc009) Forward Secrecy 128
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) Forward Secrecy 128
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) Forward Secrecy 256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x33) Forward Secrecy 128
TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x39) Forward Secrecy 256
(1) When a browser supports SSL 2, its SSL 2-only suites are shown only on the very first connection to this site. To see the suites, close all browser windows, then open this exact page directly. Don't refresh.

Bravo

Su Chrome credo che è decisamente più complicato disattivare TLS

 

[ERCOLINO]

Ho utilizzato questo link. Ma sul TSL 1.3 mi dice ancora no (ho aggiornato ff al 61).
Cosa devo fare perché mi dica sì?

Che sistema operativo usi?

Antivirus usato?


Prova a cancellare la cache e i cookies, poi chiudi il browser e riprova

 

[LadyJay]

Che sistema operativo usi?

Antivirus usato?


Prova a cancellare la cache e i cookies, poi chiudi il browser e riprova

Windows 8.1 e Avast

 

[ERCOLINO]

Aggiorna Avast che hanno risolto il problema

 

[LadyJay]

Aggiorna Avast che hanno risolto il problema

Se intendi le definizioni virus, sono già aggiornate... Avevo aspettato ad aggiornare FF, ma quando ho visto che Avast aveva risolto quel problema ho aggiornato anche firefox..

 

[thepictors2]

Solo TLS 1.0 e 1.1 o anche le tre cifrature?

Ora fatto false anche le 3 cifrature ,su un pc vediamo se danno problemi dei siti

 

[ERCOLINO]

Ora fatto false anche le 3 cifrature ,su un pc vediamo se danno problemi dei siti

Ti dico già che facendo dei controlli in rete ci sono alcuni siti che usano solo TLS 1.0 come per esempio milanoefinanza e quindi ti darà errore.

Questo però a dire il verò è un problema di quei siti, visto che dovrebbero comunque TUTTI i siti aver abilitato TLS 1.2 da una vita e poi dovrebbero disattivare TLS 1.0 che da oggi è praticamente bandito

Disattivando invece quelle 3 cifrature, "obblighi" il browser a negoziare con i siti solo con cifrature sicure

 

[thepictors2]

Be i siti se vogliono che uno li usi -guardi si adeguino altrimenti si attaccano e ne usiamo degli altri.Le alternative in tutti i campi non mancano.Ciao

 

[vialattea]

Ho disattivato le tre cifrature non sicure segnalate da Ercolino. Noto che ci sono altre cifrature a 128 bit

TLS_AES_128_GCM_SHA256 (0x1301) Forward Secrecy 128
TLS_CHACHA20_POLY1305_SHA256 (0x1303) Forward Secrecy 256
TLS_AES_256_GCM_SHA384 (0x1302) Forward Secrecy 256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b) Forward Secrecy 128
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) Forward Secrecy 128
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 (0xcca9) Forward Secrecy 256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (0xcca8) Forward Secrecy 256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02c) Forward Secrecy 256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) Forward Secrecy 256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) Forward Secrecy 128
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) Forward Secrecy 256

Conviene disattivarle o lasciarle così?

 

[ERCOLINO]

Lascia tutto cosi quelle sono sicure.

Al massimo solo quelle che segnalava in arancione vanno disattivate, se uno proprio vuole

Le prime tre sono usate solo da TLS 1.3

 

[vialattea]

Bene, grazie Ercolino

 

[ERCOLINO]

Prego

 

[Bobbys]

Ti dico già che facendo dei controlli in rete ci sono alcuni siti che usano solo TLS 1.0 come per esempio milanoefinanza e quindi ti darà errore.

Questo però a dire il verò è un problema di quei siti, visto che dovrebbero comunque TUTTI i siti aver abilitato TLS 1.2 da una vita e poi dovrebbero disattivare TLS 1.0 che da oggi è praticamente bandito

Disattivando invece quelle 3 cifrature, "obblighi" il browser a negoziare con i siti solo con cifrature sicure

Sito web: mytimfisso.tim.it

Dettagli tecnici
Connessione crittata (TLS_DHE_RSA_WITH_AES_128_CBC_SHA, chiavi 128 bit, TLS 1.0)


per accedere a mytim bisogna riattivare TLS 1.0

 

[ERCOLINO]

Non mi risultano problemi, si accede regolarmente al sito tim.it e alla sezione mytim

mytimfisso.tim.it effettua in ogni caso un redirect 301 sul sito https://www.tim.it , quindi in ogni caso non ci sono problemi

 

[Bobbys]

Con security.tls.version.max = 3

Si è verificato un errore durante la connessione a mytimfisso.tim.it. Il peer utilizza una versione non supportata del protocollo di sicurezza. Codice di errore: SSL_ERROR_UNSUPPORTED_VERSION

-> TLS 1.0
Connessione crittata (TLS_DHE_RSA_WITH_AES_128_CBC_SHA, chiavi 128 bit, TLS 1.0)

tim.it -> ok

Sito web: tim.it

Dettagli tecnici
Connessione crittata (TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, chiavi 128 bit, TLS 1.2)

 

[ERCOLINO]

Se nella barra indirizzo copio ed incollo

mytimfisso.tim.it , fa regolarmente un redirect sul sito https://www.tim.it


Ovvio che se metti https://mytimfisso.tim.it ti da quell'errore, ma in ogni caso se attivi TLS 1.0, ti farà sempre un redirect su https://www.tim.it , quindi è ininfluente il problema

 

[ERCOLINO]

https://www.digital-forum.it/showth...tracciare-le-chiamate-e-dirottare-il-traffico