जवाबों:
एसएसएल 2.0 विभिन्न तरीकों से त्रुटिपूर्ण है: 1
- संदेश प्रमाणीकरण और एन्क्रिप्शन के लिए पहचान योग्य क्रिप्टोग्राफ़िक कुंजियों का उपयोग किया जाता है।
- एसएसएल 2.0 में एक कमजोर मैक निर्माण है जो एक गुप्त उपसर्ग के साथ एमडी 5 हैश फ़ंक्शन का उपयोग करता है, जिससे यह लंबाई विस्तार हमलों के लिए कमजोर हो जाता है।
- एसएसएल 2.0 के पास हैंडशेक के लिए कोई सुरक्षा नहीं है, जिसका अर्थ है कि एक मानव-मध्य-डाउन डाउनग्रेड हमला अनिर्धारित हो सकता है।
- एसएसएल 2.0 डेटा के अंत को इंगित करने के लिए करीब टीसीपी कनेक्शन का उपयोग करता है। इसका मतलब यह है कि छंटनी के हमले संभव हैं: हमलावर केवल टीसीपी फ़ाइ का निर्माण करता है, जिससे प्राप्तकर्ता को डेटा संदेश के एक नाजायज अंत से अनजान बना दिया जाता है (SSL 3.0 एक स्पष्ट क्लोजर अलर्ट के द्वारा इस समस्या को हल करता है)।
- एसएसएल 2.0 एक एकल सेवा और एक निश्चित डोमेन प्रमाणपत्र मानता है, जो वेब सर्वर में वर्चुअल होस्टिंग की मानक विशेषता के साथ टकराता है। इसका मतलब है कि अधिकांश वेबसाइटें एसएसएल के उपयोग से व्यावहारिक रूप से बिगड़ा हुआ हैं। TLS / SNI इसे ठीक करता है लेकिन अभी तक वेब सर्वर में तैनात नहीं है।
1: http://en.wikipedia.org/wiki/Transport_Layer_Security#SSL_1.0.2C_2.0_and_3.0