Security
SSL 加速器如何工作,尤其是在 TLS 會話 ID 方面?
有一種理論認為TLS 會話 ID 可能會減輕BEAST 攻擊,並且 IETF 的評論之一提到 SSL 加速器可能會更改此 ID。
有人可以向我解釋(或告訴我去哪裡)以了解 SSL 加速器可能對不同於正常會話的 TLS 會話執行的操作嗎?
“SSL 加速器”的概念也適用於支持生成非對稱密鑰對和/或對稱加密/解密操作的加密加速卡。在這種情況下,加速完全由算法輔助組成,不涉及協議細節(尤其是沒有 TLS 會話 ID)。
至於問題的另一部分,使用會話 ID 代替 cookie 肯定無法阻止 BEAST 攻擊。儘管如果 cookie 與會話 ID 相關聯,就不會發生 cookie 盜竊,但攻擊本身仍可用於嗅探其他連接數據。對抗 BEAST 攻擊的唯一方法是放棄 TLS 1.0 並僅使用更新版本的協議 - 或使用 TLS 1.0 的 CBC(一種特殊的塊密碼編碼)禁用所有塊密碼 - 這意味著禁用所有塊密碼並留下 RC4(這是一個流密碼,因此不需要使用以前的編碼)作為唯一可用的密碼。