¿Qué determina la versión relevante de OpenSSL en una conexión de red dada?

1

Mi propio sistema es totalmente "actualizado" en cuanto a las actualizaciones de seguridad de Apple a través de la App Store, pero la versión de OpenSSL instalada en mi sistema es 0.9.8zg, una versión actualizada el año pasado. pero perdió todo el soporte de seguridad a partir del 31 de diciembre de 2015.

enlace

Leí en otra parte que, cuando uno usa una VPN, y que el cliente VPN viene con una versión diferente de OpenSSL (por ejemplo, la versión 1.0.1r), esa versión del cliente VPN reemplazará, es decir, cuanto más La versión actualizada mediará la negociación con una conexión de red en un navegador.

Mis dos preguntas relacionadas son:

(1) ¿es esto correcto? Si es así, parece que ejecutar una VPN con una versión actual de OpenSSL nominalmente "protegería" al usuario mejor que una versión obsoleta instalada en el sistema operativo, ¿correcto?

(2) Si un usuario no tiene VPN, ¿el usuario confía en la versión vulnerable de OpenSSL en el sistema operativo solo para esa capa de seguridad? ¿O son las versiones posteriores de OpenSSL de alguna manera 'empaquetadas' dentro de aplicaciones específicas: el navegador, Skype, iTunes, etc., tal como está 'empaquetada' con un cliente VPN?

    
pregunta munr0 29.01.2016 - 05:43

1 respuesta

1

Después de investigar más, veo que lo siguiente parece responder a mis preguntas:

  • OpenSSL es solo una de las muchas implementaciones de SSL / TLS
  • OS X no se basa únicamente en OpenSSL (aunque la versión obsoleta de la misma todavía está instalada con el sistema operativo), sino que su propia implementación se llama "Transporte seguro"
  • Dependiendo de la aplicación en uso (Firefox, iTunes, Mail, etc.), OpenSSL (firefox), Secure Transport (iTunes, Mail) o alguna otra implementación de SSL / TLS puede utilizarse para el protocolo de enlace seguro
  • Debido a que la VPN agrega solo una 'capa' de seguridad, independientemente de la seguridad implementada por la aplicación, la implementación TLS en la capa VPN no afecta de ninguna manera a la utilizada en la capa de aplicación (una analogía útil son los tubos en capas 'analogía proporcionada aquí:

    enlace
respondido por el munr0 29.01.2016 - 20:56

Lea otras preguntas en las etiquetas