Apache TLS con solo ECDHE-RSA-AES128-GCM-SHA256 abilitato

4

C'è qualcosa contro questa configurazione TLS in Apache:

SSLProtocol TLSv1.2
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256

Ci sono molti esempi che usano una configurazione più complicata, ma credo che questa configurazione sia sicura e facile da capire.

Ci aspettiamo che i nostri utenti abbiano un browser o dispositivo abbastanza recente, quindi non dobbiamo (o nemmeno vogliamo) supportare Android 4.3 o IE 7.

    
posta Gert-Jan 16.11.2018 - 13:48
fonte

2 risposte

2

Non ci sono vulnerabilità note in TLS 1.2 o in quella suite di crittografia. Se funziona per te dal punto di vista della compatibilità e delle prestazioni, va bene.

    
risposta data 16.11.2018 - 14:07
fonte
1

Questa configurazione va bene, sebbene raccomando di offrire anche una delle suite ChaCha20-Poly1305 e rendere questa suite l'opzione preferita. Ti suggerisco di offrire TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 se stai utilizzando i certificati RSA o TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 se stai utilizzando certificati ECDSA.

Il motivo di ciò è la prestazione. AES-GCM utilizza alcune operazioni che non sono veloci senza accelerazione hardware. In particolare, l'estensione dell'insieme di istruzioni AES e la moltiplicazione senza portante (ad esempio PCLMULQDQ, XMULX) vengono utilizzate per eseguire la crittografia a blocchi e la moltiplicazione senza porta su GF (2 k ) rispettivamente per GHASH. Senza queste estensioni le prestazioni di AES-GCM sono particolarmente scarse. Ciò riguarda principalmente gli smartphone che possono avere estensioni AES (solo sugli architetti ARMv8), ma non fornirà le necessarie estensioni multiplo senza portatore.

ChaCha20-Poly1305, tuttavia, si basa solo sulle istruzioni SIMD per le prestazioni. Questi sono abbastanza onnipresenti. Tutti i moderni processori x86_64 e la maggior parte dei processori ARM high-end offrono una gamma di estensioni di istruzioni SIMD (ad esempio SSE4, AVX2, NEON, ecc.) Che possono consentire implementazioni altamente efficienti e performanti di ChaCha20-Poly1305.

Inoltre, facendo riferimento alla mia menzione dei certificati ECDSA, potresti volerli considerare invece dei certificati RSA tradizionali. Tutti i browser moderni supportano tali certificati e, di nuovo, offrono prestazioni migliori. L'ECDSA è anche considerato più a prova di futuro contro nuovi attacchi ed è generalmente più diretto dal punto di vista della sicurezza (RSA ha un lotto di problemi che devi mitigare quando scrivi un'implementazione). Se scegli i certificati ECDSA, dovrai sostituire la configurazione esistente per utilizzare TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 per GCM.

    
risposta data 16.11.2018 - 15:21
fonte

Leggi altre domande sui tag