ZONA DE PRUEBAS

Estoy trabajando en una empresa cuyas máquinas tienen interfaces web y tengo básicamente que arreglar desde las más modernas a las más antiguas. El problema que tengo es que tienen encriptaciones acordes a su edad. En el portátil de la empresa llevo un IE y un Chrome.

Debido al tema de las encriptaciones, IE me ha chillado en una ocasión que debo activar TLS1.0, 1.1 y 1.2, mientras que Chrome me ha dado algún error de SSL (certificados malos o método de autenticación malo) que supongo que hace referencia a algún cifrado que han decidido dejar de lado.

¿Algún navegador que permita usar cualquier tipo de cifrado (incluso los considerados "malos") y sea más o menos portable?

zup escribió:¿Algún navegador que permita usar cualquier tipo de cifrado (incluso los considerados "malos") y sea más o menos portable?

No sé... ¿te podría servir el TOR?
https://www.torproject.org/projects/torbrowser.html.en
Según tengo entendido, se usa para "el intenné profundo"...

Saludos,
Xgipe

Es al revés. No necesito ocultarme bajo siete capas de encriptación, lo que necesito es hablar máquinas que hablan con cifrados (o certificados) obsoletos que han ido eliminándose de navegadores recientes.

¿Y Firefox cómo se comporta con esos certificados? ¿Son certificados sobre los que tienes el control o son ajenos?

La verdad es que no he probado con firefox... asumía que, al igual que Chrome, con las actualizaciones había deshabilitado ciertos protocolos/certificados.

Y no, no tengo el control. Mi trabajo es ir por los clientes reparando estas máquinas. En la mayor parte de los casos los protocolos/certificados que se usan son los que están por defecto (es decir, el protocolo para SSL por defecto y el certificado que generó la máquina cuando se arrancó por primera vez), aunque hay algunas máquinas de empresas "especialitas" que tienen certificados propios del cliente que no pueden ser alterados o bien el cliente tiene una configuración "inamovible".

En cierto modo, esto va a repetirse en un futuro con Java... algunos routers necesitan un plugin de java para acceder a su configuración por web y este tema es otro que va a desaparecer en muchos navegadores.

La razón de que los navegadores hayan inhabilitado ciertos protocolos de cifrado, se debe a que se han encontrado vulnerabilidades últimamente que hace que no sean fiables y puedan ser "replicados" con ataques man-in-the-middle. Por eso te preguntaba hasta qué punto tenías (tú o tu cliente) el control sobre ellos para actualizarlos. Si son de Intranet, la autoridad de certificación podría generar certificados nuevos, supongo. Si son de Internet, eso ya depende del dueño del dominio. Si la conexión tiene que ir cifrada, será por motivos de seguridad (si no, usaríamos todos el HTTP plano) y le conviene a las partes arreglar esos temas en el servidor web, a mi modesto entender.

No sé si este enlace de Wikipedia te servirá para algo: https://en.wikipedia.org/wiki/Transport ... b_browsers

BlackHole escribió:La razón de que los navegadores hayan inhabilitado ciertos protocolos de cifrado, se debe a que se han encontrado vulnerabilidades últimamente que hace que no sean fiables y puedan ser "replicados" con ataques man-in-the-middle.

No es algo que me importe demasiado... la web es la configuración de la máquina y es muy poco probable que alguien coloque información sensible ahí. Pongamos que es el mismo tipo de web que usas para configurar tu router ADSL/fibra. En mi caso desconecto la máquina de la red y uso un cable cruzado entre el portátil y la máquina, lo que elimina totalmente la posibilidad de un ataque man in the middle.

BlackHole escribió:Por eso te preguntaba hasta qué punto tenías (tú o tu cliente) el control sobre ellos para actualizarlos. Si son de Intranet, la autoridad de certificación podría generar certificados nuevos, supongo. Si son de Internet, eso ya depende del dueño del dominio. Si la conexión tiene que ir cifrada, será por motivos de seguridad (si no, usaríamos todos el HTTP plano) y le conviene a las partes arreglar esos temas en el servidor web, a mi modesto entender.

La mayoría de la gente no notaría la diferencia, ya que usa los certificados que se crearon al instalar la máquina por primera vez. El problema son esos clientes específicos que la configuración viene de una entidad central.

BlackHole escribió:No sé si este enlace de Wikipedia te servirá para algo: https://en.wikipedia.org/wiki/Transport ... b_browsers

Es un enlace muy interesante. Con eso puedo ir mirando versiones específicas que admitan cifrados específicos, habrá que ver si están disponibles. Por ejemplo, se puede ver que en Chrome se han cargado SSL 2 y 3 totalmente (no deshabilitado y habilitable, sino que según esa tabla ya solo puede usarse TLS).

Yo también me he encontrado con ese problema y lo he solventado con un viejo Ubuntu 8.04 que tengo virtualizado, el cabroncete se lo traga todo.