Diretiva Apache “SSLCipherSuite”

1

Apache descreve a diretiva SSLCipherSuite :

Cipher Suite available for negotiation in SSL handshake

Digamos que eu configurei esta diretiva para HIGH para usar somente a criptografia Triple DES.

Será que somente o handshake SSL usa o DES triplo ou o tráfego all usaria esse esquema?

    
por Kevin Meredith 10.05.2013 / 20:37

1 resposta

3

Durante o handshake TLS , um conjunto de criptografia é acordado entre os pares para ser usado durante a transmissão, embora "a qualquer momento, devido a estímulos internos ou externos (seja automação ou intervenção do usuário), de cada lado pode renegociar a conexão ".

Conforme descrito na documentação mencionada:

An SSL cipher specification in _cipher-spec_ is composed of 4 major attributes plus a few extra minor ones:

- Key Exchange Algorithm: RSA or Diffie-Hellman variants.
- Authentication Algorithm: RSA, Diffie-Hellman, DSS or none.
- Cipher/Encryption Algorithm: DES, Triple-DES, RC4, RC2, IDEA or none.
- MAC Digest Algorithm: MD5, SHA or SHA1.

Observe que a configuração de SSLCipherSuite to HIGH não restringe a lista a triplicar o DES. Compare a saída desses comandos:

# openssl ciphers 'HIGH'
# openssl ciphers '3DES'

Você pode querer considerar o uso de AES em vez disso.

A ordem em que o pacote de criptografia é avaliado é importante, em termos de segurança. Verifique o este artigo sobre mitigação de ataques do BEAST para uma explicação detalhada. Um exemplo desse artigo:

SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH

Uma análise completa do protocolo pode ser encontrada em este postagem no blog.

    
por 10.05.2013 / 21:53