Palavras-chave de configuração do Apache / OpenSSL 'SSLProtocol' vs. 'SSLCipherSuite'

1

De acordo com os documentos do Apache , posso configurar o conjunto de criptografia com (ao) duas palavras-chave e exemplos diferentes na Internet geralmente usam os dois (mas não necessariamente idênticos ao exemplo abaixo).

Qual é a diferença entre SSLProtocol e SSLCipherSuite , devo usá-los como um ou ambos?

SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!SSLv2:!SSLv3

Ou é melhor listar cifras individuais para SSLCipherSuite ?

SSLCipherSuite ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES128-SHA:AES128-SHA:RC4-SHA ...

As duas palavras-chave são fundamentalmente diferentes no que configuram? Eu tenho essa sensação de que estou negligenciando algo essencial aqui.

As configurações acima não são necessariamente boas práticas, são apenas um exemplo para explicar minha dúvida.

    
por jippie 23.03.2015 / 18:39

1 resposta

0

SSLProtocol configura quais protocolos (SSL ou TLS) e quais versões específicas desses protocolos serão permitidos.

Por exemplo, isto:

SSLProtocol all -SSLv2 -SSLv3

significa habilitar todos os protocolos suportados, exceto SSLv2 e SSLv3.

SSLCipherSuite configura quais conjuntos de criptografia podem ser usados. Cada um dos protocolos suporta diferentes conjuntos de cifras sobrepostos; Com isso, você pode aplicar uma configuração refinada de exatamente quais cifras deseja permitir.

Além de especificar listas de cifras individuais, você também pode usar aliases como SSLv3 (que significa todas as cifras permitidas pelo protocolo SSLv3) ou TLSv1 (todas as cifras permitidas pelo protocolo TLSv1).

Se você quiser controlar quais protocolos são suportados, use SSLProtocols , porque ele declara explicitamente que os protocolos fornecidos não serão permitidos, em vez de depender do bloqueio do uso de todas as cifras permitidas pelos protocolos.

    
por 22.05.2015 / 02:47