Pourquoi SSL Labs considère-t-il maintenant que les suites CBC sont faibles?
Pourquoi les laboratoires SSL marquent-ils maintenant les suites CBC 256 comme faibles, bien que GCM et ChaCha20 équivalents soient considérés comme forts? Jusqu'à il y a quelques mois, il n'était pas marqué dans les rapports (ni explicitement comme faible ou fort), et il n'est toujours pas marqué dans leurs listes de clients .
Les suites en question sont:
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA
Les SHA1 sont nécessaires pour prendre en charge Android 5 et 6 avec un score de 4x100%. Il obtient toujours un score de 4x100%, mais il le marque comme faible, ce qui, du point de vue du TOC, ne semble pas "professionnel"). ".
Bien que CBC soit très bien en théorie, il y a toujours le risque qu'une implémentation incorrecte soumette la connexion à remplissage des attaques Oracle . Maintes et maintes fois, les implémentations CBC dans TLS se sont révélées vulnérables, et chaque fois qu'une implémentation est corrigée, il semble qu'un autre bug rendant possible le remplissage d'attaques Oracle apparaisse. Lucky Thirteen a été publié en 2013, et des variantes de cette attaque basées sur des canaux secondaires continuent d'apparaître. SSL Labs observe simplement l'histoire et en tire des enseignements.
Autrement dit, après que quatre nouvelles attaques exclusives à CBC ont été révélées, toutes les attaques Oracle sont complétées, elles veulent le décourager, selon un commentaire de l'auteur de la mise à jour du blog :
Nous encourageons seulement à nous éloigner des combinaisons de chiffrement basées sur CBC après 4 nouvelles vulnérabilités basées sur CBC. Pour l'instant, il n'y a pas de changement de grade pour CBC et les serveurs peuvent continuer à utiliser.