Cifras de servidor da Web fortalecedor: qual lista de cifras escolher ou como mapear entre Mozilla e Hynek

1

Até agora, eu conhecia apenas a postagem do blog de Hynek Schlawack em endurecendo cyphers de servidor web tendo uma lista relativamente curta de cyphers.

Mas recentemente encontrei Como corrigir a vulnerabilidade de 'logjam' no Apache (httpd) que aponta para a lista intermediária muito mais longa do Mozilla Security: TLS do servidor .

As listas são bem diferentes, então eu me pergunto como mapear entre os dois.

Eu divido ambos para que haja um cypher por linha, facilitando a identificação das diferenças:

link

ECDH+AESGCM
DH+AESGCM
ECDH+AES256
DH+AES256
ECDH+AES128
DH+AES
ECDH+3DES
DH+3DES
RSA+AESGCM

link

ECDHE-RSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-GCM-SHA384
DHE-RSA-AES128-GCM-SHA256
DHE-DSS-AES128-GCM-SHA256
kEDH+AESGCM
ECDHE-RSA-AES128-SHA256
ECDHE-ECDSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
ECDHE-ECDSA-AES128-SHA
ECDHE-RSA-AES256-SHA384
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES256-SHA
ECDHE-ECDSA-AES256-SHA
DHE-RSA-AES128-SHA256
DHE-RSA-AES128-SHA
DHE-DSS-AES128-SHA256
DHE-RSA-AES256-SHA256
DHE-DSS-AES256-SHA
DHE-RSA-AES256-SHA
AES128-GCM-SHA256
AES256-GCM-SHA384
AES128-SHA256
AES256-SHA256
AES128-SHA
AES256-SHA
AES
CAMELLIA
DES-CBC3-SHA
!aNULL
!eNULL
!EXPORT
!DES
!RC4
!MD5
!PSK
!aECDH
!EDH-DSS-DES-CBC3-SHA
!EDH-RSA-DES-CBC3-SHA
!KRB5-DES-CBC3-SHA 
    
por Jeroen Wiert Pluimers 12.07.2015 / 17:51

1 resposta

2

Se você colocar essas duas especificações em openssl ciphers -V e comparar, verá que:

  • 25 cifras estão contidas em ambos os conjuntos.
  • O conjunto do Mozilla contém 6 cifras SRP (secure remote password) que não são suportadas pelos navegadores. Ele também contém 7 cifras usando CAMELIA. Não sei qual navegador suporta esses códigos, mas de acordo com SSLLabs nenhum dos principais navegadores de desktop o oferece. O resto são cifras DSS que você só precisa se tiver um certificado usando uma chave DSA. Normalmente, os certificados usam RSA e, por vezes, ECDSA.
  • O conjunto de Hynek inclui mais algumas cifras RSA e ECDSA.

Na minha opinião, o conjunto de Hynek faz mais sentido, especialmente porque as cifras apenas no conjunto da Mozilla geralmente não são suportadas pelo navegador ou pelo certificado de servidor.

    
por 12.07.2015 / 18:52