Conjuntos de criptografia suportados pelo TLS1.1. e 1,2

Navegue suas respostas
1

Temos o SSLv3 desativado no DataPower. Corri sslscan para verificar o que todos os conjuntos de cifras podem ser usados atualmente durante o handshake SSL.

Na saída do sslscan, descobri que os pacotes de criptografia abaixo estão sendo aceitos. 

TLSv1  256 bits  AES256-SHA
TLSv1  128 bits  AES128-SHA
TLSv1  168 bits  DES-CBC3-SHA
TLSv1  128 bits  RC4-SHA

Preferred Server Cipher: TLSv1  256 bits  AES256-SHA

Eu, então, desativei o TLS1.0 no DataPower (servidor) e executei novamente o sslscan . O resultado não foi o que eu esperava. Todos os ciphersuites, incluindo os que foram aceitos durante o handshake por TLS1.0, estão sendo rejeitados.

Como eu poderia saber, qual cifra atende meu servidor aceitará se eu desabilitar o TLS1.0?

    
por user2607367 15.12.2015 / 14:55

1 resposta

0

Sua saída faz referência apenas ao TLS 1.0, e a desativação recusa as opções desabilitadas do TLS 1.0 como deveria. Consulte as referências e a documentação do DataPower para suportar o TLS 1.1 e o TLS 1.2, além de configurar conjuntos de criptografia. Comece com a verificação de sua versão de firmware e a atualização adequada para oferecer melhor suporte às configurações de TLS mais recentes.

Aqui é uma referência para o DataPower suportar TSL 1.1 e TLS 1.2 por padrão em versão do firmware 6. Sua versão atual pode não suportar nada além do TLS 1.0 e ainda não permite configurar o TLS 1.1, nem o TLS 1.2. O link faz referência a configurações de criptografia específicas para obter granularidade suficiente para resolver problemas em cada versão do TLS, como como besta.

Uma vez atualizado e configurado execute novamente o sslscan, ou alternativas se você quiser comparar com o sslscan como testssl.sh.

    
por 21.12.2015 / 20:13

Tags

Nomes de curinga de dispositivo de fantoches para nós? O log do Apache preenchido com erros de proxy do IP de ataque