Compreendendo o script nmap ssl-enum-ciphers

2

Estou testando a configuração SSL do servidor do Tomcat e estava usando o script ssl-enum-ciphers de nmap e o seguinte aviso aparece:

Key exchange parameters of lower strength than certificate key

O que isso significa? Não consigo encontrar informações significativas sobre este diagnóstico.

Cifras server.xml do Tomcat:

ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,
            TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
            TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA256,
            TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_RSA_WITH_AES_256_CBC_SHA256,TLS_DHE_RSA_WITH_AES_256_CBC_SHA,
            TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_CBC_SHA256,
            TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA"
    
por John Giotta 14.11.2016 / 16:04

1 resposta

3

Isso significa que o servidor está configurado com um certificado com uma determinada intensidade de chave (talvez RSA de 2048 bits), mas o pacote de criptografia específico em uso é configurado para usar material de troca de chaves diferente e com menor intensidade. Este é provavelmente um parâmetro Diffie-Hellman (DH) com intensidade de 1028 bits.

Para corrigir isso, você pode remover ciphersuites de troca de chaves relacionadas à DH da sua configuração ou gerar e configurar parâmetros DH mais strongs. Mais orientações diretas estão disponíveis em em weakdh.org

    
por 14.11.2016 / 19:24

Tags