Prioridade de codificação SSL / TLS

5

Estou trabalhando para tentar entender o que é necessário para a conformidade com o PCI DSS, bem como para a conformidade com o FIPS em relação aos conjuntos de criptografia SSL / TLS. Eu tenho lido o guia aqui e aqui . No entanto, não consegui encontrar nada que indique em que ordem ou prioridade devo listar as cifras. Posso ver quais devo usar e desativar, mas suponho que existe uma prioridade que deve ser seguida para elas. bem. Isso é principalmente para servidores Windows e, posteriormente, eu verificaria a execução do mesmo para servidores Linux que executam o Apache.

    
por John 22.02.2012 / 23:28

2 respostas

2

Depende da versão do Windows / IIS. Em 2003 (IIS 6) e anteriores, isso não pode ser feito. Você só pode ativar / desativar as cifras. No Windows 2008 (IIS 7) e versões posteriores, você pode fazer isso por meio de um GPO (se você ingressou no domínio e acredito que esse servidor não seja compatível com PCI).

Mais informações aqui: link

    
por 22.02.2012 / 23:54
2

Por que você acha que há uma prioridade necessária?

Nenhum padrão de conformidade que eu já ouvi falar recomendou uma prioridade específica; afinal de contas, se uma cifra é insegura, ela deve ser desativada em vez de ser apenas de-priorizada.

Por outro lado, preferir o RC4 em relação às cifras construídas pelo CBC pode ser até que o TLS 1.1 seja amplamente implementado; veja CVE-2011-3389 .

    
por 23.02.2012 / 04:21