Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
tls 1.2-1.3
3 views
Skip to first unread message
ddosasg
May 16, 2022, 5:13:33 PM5/16/22
to
analizzando una va interna di un cliente è risultato una vulnerabilita di tipo informativo "insecure Transport Layer" il cliente è deciso a sanarla a ogni costo anche se è solo una informativa , quindi debbo abilitare TLS 1.2/1.3 e rimuovere i vecchi 1.0 e 1.1 che sono ormai insicuri......
vorrei sapere se avete mai affrontato questo problema e come avete risolto o se avete dei link per configurare i web server grazie
vorrei sapere se avete mai affrontato questo problema e come avete risolto o se avete dei link per configurare i web server grazie
ObiWan
May 17, 2022, 4:23:28 AM5/17/22
to
:: On Mon, 16 May 2022 14:13:32 -0700 (PDT)
:: (it.comp.sicurezza.windows)
:: <1ed72622-53fa-4e57...@googlegroups.com>
diversi servizi, non solo dal webserver ma anche dal server email...
> debbo abilitare TLS 1.2/1.3 e rimuovere i vecchi 1.0 e 1.1 che sono
> ormai insicuri
https://www.nartac.com/Products/IISCrypto/
considera che il supporto TLS 1.3 è presente solo a partire da alcune
versioni di Windows e che versioni più vecchie potrebbero non avere il
supporto per TLS 1.2 ma solo per 1.1, il tool di cui sopra permette di
configurare i parametri della libreria SCHANNEL che è, in pratica, la
libreria base per la crittografia in Windows, considera anche che prima
di modificare qualsiasi cosa sarà opportuno fare un backup (il tool di
cui sopra lo permette) delle impostazioni attuali; oltre al supporto
TLS sarà anche opportuno rivedere e riordinare le "cipher suites" in
modo da ottenere un buon bilanciamento tra efficienza e sicurezza, per
farlo, ovviamente, dovrai prima capire come funziona il tutto, in caso
contrario, usare il tool senza sapere cosa si sta facendo rischia di
compromettere il funzionamento del sistema
:: (it.comp.sicurezza.windows)
:: <1ed72622-53fa-4e57...@googlegroups.com>
:: ddosasg <ddo...@gmail.com> wrote:
> analizzando una va interna di un cliente è risultato una
> vulnerabilita di tipo informativo "insecure Transport Layer"
ok, ma su QUALI porte/servizi ? Considera che TLS può essere usato da
> analizzando una va interna di un cliente è risultato una
> vulnerabilita di tipo informativo "insecure Transport Layer"
diversi servizi, non solo dal webserver ma anche dal server email...
> debbo abilitare TLS 1.2/1.3 e rimuovere i vecchi 1.0 e 1.1 che sono
> ormai insicuri
considera che il supporto TLS 1.3 è presente solo a partire da alcune
versioni di Windows e che versioni più vecchie potrebbero non avere il
supporto per TLS 1.2 ma solo per 1.1, il tool di cui sopra permette di
configurare i parametri della libreria SCHANNEL che è, in pratica, la
libreria base per la crittografia in Windows, considera anche che prima
di modificare qualsiasi cosa sarà opportuno fare un backup (il tool di
cui sopra lo permette) delle impostazioni attuali; oltre al supporto
TLS sarà anche opportuno rivedere e riordinare le "cipher suites" in
modo da ottenere un buon bilanciamento tra efficienza e sicurezza, per
farlo, ovviamente, dovrai prima capire come funziona il tutto, in caso
contrario, usare il tool senza sapere cosa si sta facendo rischia di
compromettere il funzionamento del sistema
ObiWan
May 17, 2022, 4:27:05 AM5/17/22
to
:: On Tue, 17 May 2022 10:23:27 +0200
:: (it.comp.sicurezza.windows)
:: <20220517102...@mvps.org>
https://docs.microsoft.com/en-us/windows/win32/secauthn/protocols-in-tls-ssl--schannel-ssp-
ripeto ancora, OCCHIO a metter le mani sulle impostazioni SCHANNEL,
dato che se NON SAI cosa stai facendo, rischi di far danni anche grossi
:: (it.comp.sicurezza.windows)
:: <20220517102...@mvps.org>
:: ObiWan <obi...@mvps.org> wrote:
> considera che il supporto TLS 1.3 è presente solo a partire da alcune
> versioni di Windows e che versioni più vecchie potrebbero non avere il
> supporto per TLS 1.2 ma solo per 1.1, il tool di cui sopra permette di
per completezza
> considera che il supporto TLS 1.3 è presente solo a partire da alcune
> versioni di Windows e che versioni più vecchie potrebbero non avere il
> supporto per TLS 1.2 ma solo per 1.1, il tool di cui sopra permette di
https://docs.microsoft.com/en-us/windows/win32/secauthn/protocols-in-tls-ssl--schannel-ssp-
ripeto ancora, OCCHIO a metter le mani sulle impostazioni SCHANNEL,
dato che se NON SAI cosa stai facendo, rischi di far danni anche grossi
ObiWan
May 18, 2022, 5:17:02 AM5/18/22
to
:: On Tue, 17 May 2022 11:58:14 -0000 (UTC)
:: (it.comp.sicurezza.windows)
:: <XnsAE9A8CBAB...@not.for.you>
:: Allen <al...@spamfence.net> wrote:
> ObiWan <obi...@mvps.org> wrote in
> news:20220517102...@mvps.org:
>
> > per completezza
> Scusa..ma parti già dal concetto che ci sia iis installato?
No, tu invece ti sei fatto fuorviare dal nome di quel tool, il
programma in questione NON è "solo per IIS" ma va a modificare le
impostazioni di SCHANNEL che, in Windows controllano il sistema
crittografico per l'intero sistema, non soltanto per IIS
:: (it.comp.sicurezza.windows)
:: <XnsAE9A8CBAB...@not.for.you>
:: Allen <al...@spamfence.net> wrote:
> ObiWan <obi...@mvps.org> wrote in
> news:20220517102...@mvps.org:
>
> > per completezza
> Scusa..ma parti già dal concetto che ci sia iis installato?
No, tu invece ti sei fatto fuorviare dal nome di quel tool, il
programma in questione NON è "solo per IIS" ma va a modificare le
impostazioni di SCHANNEL che, in Windows controllano il sistema
crittografico per l'intero sistema, non soltanto per IIS
ObiWan
May 18, 2022, 5:18:36 AM5/18/22
to
:: On Wed, 18 May 2022 11:17:00 +0200
:: (it.comp.sicurezza.windows)
:: <20220518111...@mvps.org>
SCHANNEL non si avrà alcuna differenza, dato che Apache utilizza
OpenSSL e la configurazione di quelle librerie è completamente separata
da SCHANNEL
:: (it.comp.sicurezza.windows)
:: <20220518111...@mvps.org>
:: ObiWan <obi...@mvps.org> wrote:
> No, tu invece ti sei fatto fuorviare dal nome di quel tool, il
> programma in questione NON è "solo per IIS" ma va a modificare le
> impostazioni di SCHANNEL che, in Windows controllano il sistema
> crittografico per l'intero sistema, non soltanto per IIS
dopodichè... è ovvio che se uno ha installato Apache, cambiando
> No, tu invece ti sei fatto fuorviare dal nome di quel tool, il
> programma in questione NON è "solo per IIS" ma va a modificare le
> impostazioni di SCHANNEL che, in Windows controllano il sistema
> crittografico per l'intero sistema, non soltanto per IIS
SCHANNEL non si avrà alcuna differenza, dato che Apache utilizza
OpenSSL e la configurazione di quelle librerie è completamente separata
da SCHANNEL
ObiWan
May 18, 2022, 10:00:37 AM5/18/22
to
:: On Wed, 18 May 2022 13:48:31 -0000 (UTC)
:: (it.comp.sicurezza.windows)
:: <XnsAE9BA07DC...@not.for.you>
:: Allen <al...@spamfence.net> wrote:
> Percui, ripeto, prima di buttarsi, si aspetta almeno che il
> "disinteressato" dia una risposta...
ma infatti, al "disinteressato" ho solo consigliato quel tool, poi se
usando lo stesso senza capire come funziona e cosa sta facendo, finisse
per rendere il server inutilizzabile, affari suoi, quello che gli ho
fornito è un modo per modificare le impostazioni si SCHANNEL, poi, per
quanto riguarda il come modificarlo e perchè sta a lui documentarsi :)
:: (it.comp.sicurezza.windows)
:: <XnsAE9BA07DC...@not.for.you>
:: Allen <al...@spamfence.net> wrote:
> Percui, ripeto, prima di buttarsi, si aspetta almeno che il
> "disinteressato" dia una risposta...
ma infatti, al "disinteressato" ho solo consigliato quel tool, poi se
usando lo stesso senza capire come funziona e cosa sta facendo, finisse
per rendere il server inutilizzabile, affari suoi, quello che gli ho
fornito è un modo per modificare le impostazioni si SCHANNEL, poi, per
quanto riguarda il come modificarlo e perchè sta a lui documentarsi :)
0 new messages