AES-GCM è raccomandato per SSL?

Si consiglia GCM; è anche approvato dal NIST . Tuttavia, i AEAD cifrari sono supportati in TLS solo a partire da TLS 1.2 ; vedere la sezione 6.2.3.3, che è nuova, se confrontata con TLS 1.1 . Le attuali suite di crittografia GCM sono definite in RFC 5288 . Nota che TLS 1.2 (e, per quella materia, anche TLS 1.1) è immune agli attacchi BEAST-like quando si usa CBC.

Quindi avrai difficoltà a trovare un browser Web che supporti GCM adesso (scriverò queste righe a gennaio 2013, si spera che il supporto per TLS 1.2 + GCM si diffonderà ad un certo punto nel tempo ). Va ancora bene abilitarlo, e se il client lo supporta, tanto meglio; GCM sarà più leggero sui recenti processori x86 con gli codici operativi AES-NI (questi codici opzionali sono stati progettati appositamente per GCM, in particolare PCLMULQDQ che implementa moltiplicazioni in GF (2) [X] ). Non che il costo della CPU delle suite di crittografia TLS tradizionali sia così elevato, ma è intellettualmente piacevole sapere che ogni core del server può supportare una larghezza di banda di 5 Gbit / s.

Ma se vuoi che i browser esistenti effettivamente, per esempio, sfoglia il tuo server, allora dovrai consentire anche più suite di crittografia "primitive", se non altro come riserva.

Mi rendo conto che il post è del 2013, ma mi sono imbattuto in questo post durante la ricerca di una patch per l'ultima vulnerabilità openSSL annunciata il 3 maggio 2016 (Info - link ). La patch raccomandata è la suite di crittografia TLS1.2 + AES-GCM.

A questo punto, l'ultimo browser sul sistema operativo più recente dovrebbe supportare AES-GCM. Se vuoi ancora confermarlo, questo strumento ( link ) fornirà informazioni sulle suite di crittografia SSL supportate da il tuo browser.