Non sono esperto in questo settore ma dopo alcune ricerche non sono molto sicuro della soluzione.
Un fornitore esterno che ha eseguito un test di penetrazione sul nostro server ha riferito che abbiamo TLS_RSA_WITH_3DES_EDE_CBC_SHA con 112 bit abilitati e che lo ha segnalato come una minaccia. Ho letto che tali cifrari possono essere disabilitati dal sito Microsoft (Siamo su Windows Server 2008) che è bello ma dopo aver letto un po 'di più su cosa significa su forum Vedo che si tratta di un downgrade da 168 a causa di una vulnerabilità.
Estratto:
I'm not a crypto-nerd but if I read this explanation correctly that particular cipher has an effective security of 112 bits but if the encryption is achieved by using 3 56 bit keys (3 X 56 = 168)
Risposta:
"One might expect that 3TDEA would provide 56×3 = 168 bits of strength. However, there is an attack on 3TDEA that reduces the strength to the work that would be involved in exhausting a 112 bit key"
Posso confermare che gli SSLLab fanno in modo che questa cifra sia 112 e non 168, che presumo sia dovuta alla vulnerabilità.
in questa voce forum è menzionato per essere correlato a OpenSSL
As an update, as of the June 20 snapshot of the OpenSSL codebase, the reported strength of the 3DES Cipher Suites is now 112 bits instead of 168.
Ok. Se questo è corretto, allora questo downgrade può essere applicato solo ai certificati emessi con OpenSSL? Non sono sicuro di quale sia l'esatta vulnerabilità che causa il downgrade a 112.
In ogni caso, qual è l'approccio effettivo per disabilitare questo. dovrei impostare la chiave del Registro di sistema (Enabled = 0x0) nelle seguenti sottochiavi?:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\
Triple DES 112/112
o
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\
Triple DES 168/168
o entrambi, o qualcos'altro?
Non posso applicare personalmente la modifica poiché non ho i permessi su questi server, ma devo istruire la persona che effettuerà la modifica.