Sta usando RC4-MD5 / RC4-SHA come crittografia SSL sufficiente per la maggior parte degli scopi?

4

Nell'ELB di AWS, ho caricato un certificato e selezionato solo " RC4-MD5 " + " RC4-SHA " come le cifre e il punteggio A nel < strong> ssltest [1]

Se utilizzo l'impostazione ELB predefinita, posso solo segnare un C

Dato che non sto facendo un sito conforme PCI, quindi usando solo i due codici sopra, è sufficiente per la maggior parte degli scopi? (con sufficiente intendo un'ampia gamma di supporto browser)

[1] link

    
posta Ryan 22.07.2013 - 19:11
fonte

1 risposta

5

Risposta breve: sì, le cose andranno bene .

RC4, MD5 e, in qualche misura minore, SHA-1 hanno tutti alcuni difetti noti, ma nessuno di questi renderà il tuo sito Web debole. Per essere precisi: se utilizzando una suite di crittografia RC4-MD5 rende il tuo sito Web significativamente più debole, allora è altrimenti estremamente solido - più solido di quanto sembra essere praticamente raggiungibile, anzi.

Tuttavia, potresti voler inserire qualche altro pacchetto di crittografia, ad es. con supporto per 3DES e / o AES, in modo da ospitare i clienti con restrizioni. Alcune persone hanno sbagliato i messaggi, sono stati presi dal panico e hanno disattivato RC4 completamente dai loro browser.

Il "punteggio" in ssltest è quasi privo di significato. Non leggere troppo in esso. È come la reputazione in security.SE: si riferisce più agli sforzi per ottenere un punteggio elevato rispetto alla sicurezza reale.

    
risposta data 22.07.2013 - 19:18
fonte