La longitud de las claves SSL varía entre 40 y 56 bits, que pueden encontrarse con algunos conocimientos técnicos y utilizarse para falsificar un certificado activo.
Los rastreadores de paquetes en una red pública pueden recuperar la longitud de la clave utilizada, pero no la clave en sí. Se necesitarían conocimientos técnicos para falsificar o reemplazar un certificado activo.
Wikipedia informa al menos 7 vectores de ataque (conocimientos técnicos) para SSL:
- ¿Facebook tiene que compartir su información personal (por ejemplo, correo electrónico) con la policía a pedido?
- Cómo evitar una página emergente de recordar contraseña
- ¿Qué es un ataque de ransomware? ¿Cómo puedo evitarlo?
- En criptografía, ¿cuál es una definición intuitiva para la seguridad semántica?
- ¿Cuáles son algunos trucos poco comunes utilizados para proteger el software de la ingeniería inversa? Específicamente, trucos que son sutiles o vengativos.
SSL 2.0 tiene fallas en una variedad de formas:
[199]
- Se utilizan claves criptográficas idénticas para la autenticación y el cifrado de mensajes. (En SSL 3.0, los secretos MAC pueden ser más grandes que las claves de cifrado, por lo que los mensajes pueden permanecer a prueba de manipulaciones incluso si las claves de cifrado están rotas. [4])
- SSL 2.0 tiene una construcción MAC débil que utiliza la función hash MD5 con un prefijo secreto, lo que lo hace vulnerable a ataques de extensión de longitud.
- SSL 2.0 no tiene ninguna protección para el apretón de manos, lo que significa que un ataque de degradación de hombre en el medio puede pasar desapercibido.
- SSL 2.0 utiliza la conexión TCP cercana para indicar el final de los datos. Esto significa que los ataques de truncamiento son posibles: el atacante simplemente falsifica un FIN de TCP, dejando al destinatario sin darse cuenta de un mensaje de fin de datos ilegítimo (SSL 3.0 soluciona este problema al tener una alerta de cierre explícita).
- SSL 2.0 asume un servicio único y un certificado de dominio fijo, que choca con la característica estándar de alojamiento virtual en servidores web. Esto significa que la mayoría de los sitios web están prácticamente impedidos de usar SSL.
SSL 2.0 está deshabilitado de forma predeterminada, comenzando con Internet Explorer 7,
[200]
Mozilla Firefox 2,
[201]
Opera 9.5,
[202]
y Safari. Después de enviar un “ClientHello” TLS, si Mozilla Firefox descubre que el servidor no puede completar el protocolo de enlace, intentará volver a usar SSL 3.0 con un SSL 3.0 “ClientHello” en formato SSL 2.0 para maximizar la probabilidad de éxito Apretón de manos con servidores más antiguos.
[203]
La compatibilidad con SSL 2.0 (y cifrados débiles de 40 y 56 bits) se ha eliminado por completo de Opera a partir de la versión 10.
[204]
[205]
SSL 3.0 [ editar ]
SSL 3.0 mejoró a SSL 2.0 al agregar cifrados basados en SHA-1 y soporte para autenticación de certificado.
Desde el punto de vista de la seguridad, SSL 3.0 debe considerarse menos deseable que TLS 1.0. Las suites de cifrado SSL 3.0 tienen un proceso de derivación de clave más débil; La mitad de la clave maestra establecida depende completamente de la función hash MD5, que no es resistente a colisiones y, por lo tanto, no se considera segura. Bajo TLS 1.0, la clave maestra que se establece depende de MD5 y SHA-1, por lo que su proceso de derivación no se considera actualmente débil. Es por esta razón que las implementaciones de SSL 3.0 no se pueden validar bajo FIPS 140-2.
[206]
En octubre de 2014, se informó la vulnerabilidad en el diseño de SSL 3.0, lo que hace que el modo de operación CBC con SSL 3.0 sea vulnerable al ataque de relleno (ver #POODLE attack).