serwer nie obsługuje bezpiecznej renegocjacji połączenia TLS

w dziale Strony WWW w Operze
pieniutek napisał(a):

tak jak w tytule czy ktos może wyjaśnić o co chodzi...
zastanawiające jest to, że dla Opery połączenie ze stroną mimo tego komunikatu jest bezpieczne.

lemari napisał(a):

Sprawdź Datę Systemową .
Lewy dolny róg.

pieniutek napisał(a):

informacja ta pojawia się w "informacjach o bezpieczeństwie witryny" w więkości banków jak sprawdzałam, więc nie sądzę by miało to coś wspólnego z data...Data z tego co wiem może wywołać błąd certyfikatu. Tutaj sytuacja wygląda inaczej:
"Połączenie z serwerem jest zabezpieczone i można za jego pomocą przekazywać poufne informacje....". Natomiast dalej pod spodem: "Serwer nie obsługuje bezpiecznej renegocjacji połączenia TLS. Właściciel witryny powinien zaktualizować oprogramowanie serwera".

stivo85 napisał(a):

Gdzie?

andol napisał(a):

Połączenie jest bezpieczne. Ja rozumiem to tak (ale mogę się mylić), że w przypadku chwilowego zerwania połączenia nie będzie możliwości kontynuacji sesji i użytkownik będzie musiał ponownie się zalogować.

zielak007 napisał(a):

Z tego co znalazłem, to ten komunikat dotyczy dziury w SSL sprzed prawie dwóch lat.
Po więcej szczegółów odsyłam na bloga Opera Security group, gdzie większość wpisów dotyczy tego problemu.

pieniutek napisał(a):

Originally posted by zielak007:

Z tego co znalazłem, to ten komunikat dotyczy dziury w SSL sprzed prawie dwóch lat.
Po więcej szczegółów odsyłam na bloga Opera Security group, gdzie większość wpisów dotyczy tego problemu.



Witam,
zgadza się sytuacja ta powiązana jest ze sprawą z przed lat.
Ogólnie chodzi o bezpieczeństwo przesyłanych danych. W serwisach gdzie bezpieczeństwo jest priorytetowe sugerowano wgranie poprawki, która uniemożliwiała ponowne nawiązanie połączenia w przypadku jego zerwania a tym samym zabezpieczała przed powstaniem "luki".

Originally posted by andol:

Połączenie jest bezpieczne. Ja rozumiem to tak (ale mogę się mylić), że w przypadku chwilowego zerwania połączenia nie będzie możliwości kontynuacji sesji i użytkownik będzie musiał ponownie się zalogować.



Dokładnie w ten sposób się to objawia. Zostajemy wylogowani i musimy logować się ponownie do aplikacji.

Dziękuję za wszystkie sugestie.

areksz22 napisał(a):

sprawa umarła jest data 01/11/2011 wszelkie banki maja ten sam problem jak ustawisz szyfrowanie w ssl/tls na 168 lub 256bit bo nie daja rade tak dbaja o nasze bezpieczenstwo banki które maja błedy z certyfikatem tls :
to ideabank.pl
toyotabank.pl, getinonline.pl,
play.pl, polbank.pl
mbank wcale nie mozna wejsc na strone przy szyfrowaniu wiekszym niz 128bit --to ma byc bezpieczny bank?