SSL prend en charge plusieurs suites de chiffrement anonymes telles que TLS_DH_anon_WITH_AES_256_GCM_SHA384. Lorsqu'elles sont utilisées, aucune authentification n'est effectuée et aucun certificat n'est échangé. Cela signifie que s'ils sont utilisés, vous risquez des attaques MitM.
Auparavant, je ne les voyais activés que lorsque quelqu'un avait activé chaque suite de chiffrement par erreur. Aujourd'hui, j'ai remarqué que la banque en ligne Nationwide a un seule suite de chiffrement anonyme activée .
Cela me porte à croire qu'il a été ajouté délibérément, plutôt qu'accidentellement.
Quels sont les cas d'utilisation des suites de chiffrement anonymes sur un site Web?
Quels sont les cas d'utilisation des suites de chiffrement anonymes sur un site Web?
Aucun. C'est juste une grave erreur et donc la note est plafonnée à F. Aucun des navigateurs ne propose de suites de chiffrement anonymes (au moins par défaut), donc aucune connexion avec un navigateur ne sera établie de cette façon. Mais il se pourrait bien que certaines applications bancaires mobiles fassent la même erreur.
Que TLS inclut une telle capacité n'est pas sans raison.
Il assure la confidentialité sans avoir besoin d'une autorité de certification - un point de terminaison doit être configuré pour se souvenir quels certificats il acceptera, au lieu de quelles autorités de certification il acceptera. Il s'agit d'un modèle de confiance complètement différent de celui généralement utilisé sur Internet et ne doit pas être utilisé sur un site Web public.
Je ne m'attendrais pas à ce que ce chiffre soit disponible dans n'importe quel navigateur.