我知道曾經是之前在這裡問過,但那是2009年的事了。
現在它已被瀏覽器廣泛支援(需要 TLS 1.1,僅在 Chrome 22+ 中添加,FF 232013 年 8 月 8 日發布,IE9+),
並且可以與使用 OpenSSL 1.0.1e 的 Nginx(2013 年 2 月 13 日發布),
而除 ECC 之外的所有 TLS 現在都是30秒內即可破碎,
有一個更好的案例。
不過,我無法找到是否有任何主要 CA 頒發 ECC。
答案1
並且除 ECC 之外的所有 TLS 現在均可在 30 秒內破解
事實並非如此——BREACH(以及就此而言的 CRIME)的前提是使用 HTTP 壓縮來提供內容。
請遵循這個簡單的逐步指南:
- 步驟1: 在 HTTPS 端點上停用 HTTP 壓縮
恭喜! - 您在 30 秒內緩解了該漏洞