Durante o handshake TLS , um conjunto de criptografia é acordado entre os pares para ser usado durante a transmissão, embora "a qualquer momento, devido a estímulos internos ou externos (seja automação ou intervenção do usuário), de cada lado pode renegociar a conexão ".
Conforme descrito na documentação mencionada:
An SSL cipher specification in _cipher-spec_ is composed of 4 major attributes plus a few extra minor ones: - Key Exchange Algorithm: RSA or Diffie-Hellman variants. - Authentication Algorithm: RSA, Diffie-Hellman, DSS or none. - Cipher/Encryption Algorithm: DES, Triple-DES, RC4, RC2, IDEA or none. - MAC Digest Algorithm: MD5, SHA or SHA1.
Observe que a configuração de SSLCipherSuite
to HIGH
não restringe a lista a triplicar o DES. Compare a saída desses comandos:
# openssl ciphers 'HIGH'
# openssl ciphers '3DES'
Você pode querer considerar o uso de AES em vez disso.
A ordem em que o pacote de criptografia é avaliado é importante, em termos de segurança. Verifique o este artigo sobre mitigação de ataques do BEAST para uma explicação detalhada. Um exemplo desse artigo:
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH
Uma análise completa do protocolo pode ser encontrada em este postagem no blog.