Menü
Avatar von Werni29
  • Werni29

mehr als 1000 Beiträge seit 13.11.2001

Re: gute Frage ...

Mrothyr schrieb am 23.08.2019 09:42:

Stephan Goll schrieb am 23.08.2019 00:15:

eTLS hat einen CVE-Eintrag (https://nvd.nist.gov/vuln/detail/CVE-2019-9191) und gilt damit offiziell als fehlerhaft. Ich glaube nicht, daß es viele Firmen gibt, die bei dem Einsatz einer bekannt-defekten Verschlüsselung durch ein Security-Audit kommen.

Kommt drauf an. Wenn entsprechende Audit-Pflichten bestehen (Banken) hat man nur drei Möglichkeiten: keine Verschlüsselung, veraltete Verschlüsselung oder eTLS. Ich kann mir vorstellen, dass zukünftig entsprechend eTLS eingesetzt wird.

Möglichkeit vier: Die verpflichtenden Audits auf dem Server selbst umsetzen? eTLS ermöglicht nur, in die Verbindung zu schauen. Da gibt es nichts, was der Server selbst nicht auch wüsste - er muss die Ausleitung der Audit-Daten nur selbst machen.

Bewerten
- +
Anzeige