So che puoi impostare il protocollo / cifra tramite il tuo server web:
Nginx:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!MD5;
Apache:
SSLProtocol all -SSLv2
SSLCipherSuite HIGH:!aNULL:!MD5
Ma la mia domanda è possibile creare un certificato SSL per funzionare solo con determinati protocolli?
E può essere creato un certificato per funzionare solo con determinate cifre?
.. to only work with certain protocols? .. to only work with certain ciphers?
I certificati sono per lo più indipendenti dal protocollo.
Ma c'è una leggera correlazione tra certificato e cifrario: una parte del codice specifica l'algoritmo di autenticazione e i possibili algoritmi dipendono dal tipo di certificato. Ciò significa che non è possibile utilizzare un certificato RSA con un codice * _ECDSA_ * e nessun certificato ECDSA con scambio di chiavi RSA. Esistono anche cifrari ECDH (non ECDHE) e DH (non DHE) che richiedono informazioni specifiche nel certificato. Ma la scelta della crittografia simmetrica (ad es. AES, RC4 ...) e l'HMAC sono indipendenti dal certificato.
Il che significa che il tipo di certificato limita i codici che possono essere utilizzati ma non è possibile limitare direttamente i cifrari oi protocolli con alcune informazioni nel certificato.
Sarebbe di grande aiuto se pensassi all'autenticazione basata su certificato o identifichi la verifica, separata dallo scambio di integrità, in cui le cifre SSL arrivano davvero.
Il certificato è valido solo per verificare che il server "X" sia realmente "X" e non "x".
I cifrari sono, invece, usati per fornire un meccanismo in cui si stabilisce la chiave simmetrica per lo scambio di dati. Come puoi immaginare, questa fase si verificherà una volta stabilita l'autenticità del server.
Leggi altre domande sui tag openssl tls certificates certificate-authority