Pracuji na nasazení našeho mobilního VPN a zkoumám možnosti jeho ladění pro lepší výkon. Předpokládáme, že budeme přenášet značné množství VOIP provozu pro Teams.
Vypadá to, že DTLS pomůže udržet výkon přijatelný, ale DTLS 1.2 není podporován na mobilních klientech.
Existují nějaká velká bezpečnostní rizika spojená s používáním DTLS 1.0 místo DTLS 1.2?
ÚPRAVA chyba
TLS1.2 není podporován na DTLS1.0, pouze DTLS 1.2. Před několika měsíci jsem šel touto cestou, snažil jsem se eliminovat poslední část <TLS1.2. V té době byla právě vydána verze 16.1.0 a nechtěl jsem používat starší verzi 2 týdny starou.
Uprava: Vidím, že jste opravili chybu ohledně tls1.1 na dtls1.0.
Pokud vím, na protokolu nejsou žádné významné zranitelnosti a mnoho prodejců, jak jste si všimli, stále podporuje pouze dtls1.0. Dokonce ani Cisco ASA ještě nepodporuje DTLS1.2. Já jej stále používám ve svém prostředí, protože verze 16.1 není FIPS certifikovaná a bez ní jsou rychlosti brutálně pomalé.
Vlastně ne. Musíte použít ne EC šifry.
Naše organizace trvá na používání vzdáleného VPN s omezenou sadu šifer v rodině ECDHE na <16.x, takže pro nás není DTLS dostupný.