¿Existe un plan o implementación existente de RFC 5054 en cualquiera de los principales navegadores hasta ahora?TLS/SRP en los navegadores?
Si todavía nadie tiene una implementación, ¿qué navegadores principales la tienen en su hoja de ruta? ¿Dónde?
Esta característica está en Mozilla de radar, y hay un par de solicitudes de mejora en función de registro en bugzilla.mozilla.org (356855, 405155), pero han sido bastante bastante últimamente. Quizás haya un lack of an appreciation de lo que SRP es bueno.
Por mis centavos, SRP/TLS parece no encajar bien con los modelos de seguridad existentes en Firefox, por lo que la implementación toca muchas partes diferentes del navegador (desde UI a NSS). ¿Podría ser un problema similar para otros navegadores también?
obras de JavaScript Una implementación en Firefox:
cURL tendrá compatibilidad con TLS-SRP en la próxima versión. Vea el hilo Patch for TLS-SRP support (using GnuTLS) en curl-library. (He revivido un parche de Peter Sylvester.)
Y estoy tratando de revivir los parches bugzilla de Steffen Schulz para TLS-SRP en NSS (bugzilla # 405155), que es la biblioteca SSL/TLS de Mozilla. He actualizado los parches para que funcionen con el último NSS y los publicaré en una semana más o menos. Una vez que esté funcionando en NSS, Firefox será el siguiente.
También está surgiendo un nuevo problema: el SRP se define solo con cifrado AES-CBC, ninguno con AES-GCM. Además, su uso de la construcción FFDH lo hace bastante lento, me pregunto si traducirlo a ECC tampoco lo haría un poco mejor ... Eso significa que necesitamos RFC que lo hagan –
Otro problema es que ninguna de las suites de SRP usa SHA2 o superior Dado que SHA1 ahora se considera roto, probablemente no habrá mucha consideración de estas suites en el futuro. –
Hay un código para NSS, Chrome y Firefox, nada se ha fusionado todavía, pero funciona. Sin embargo, aún quedan por resolver algunas cuestiones menores no técnicas. Algunos códigos e información se pueden encontrar en trustedhttp.org, y en bugzillas de Firefox y Chromium.
Podría ser. Pero parece que últimamente NADA se acopla con los modelos de seguridad existentes (incluida la seguridad). Creo que debemos replantearnos los certificados SSL (consulte también DN spoofing). – Jason
@Jason SSL tiene sus puntos débiles, es cierto. No estaba investigando sobre SRP/TLS, la idea de que realmente está creciendo en mí. El punto al que me refiero es que en un proyecto grande y complejo como un navegador, puede ser difícil hacer este tipo de cambios sin una demanda seria, y la demanda simplemente no existe entre los usuarios generales. ¡Ve por lo tanto, y difunde la palabra de RFC 5054! – academicRobot