Il web server può avere una configurazione della suite di crittografia specifica per la versione TLS?

3

Ad es. TLS 1.1 solo suite RC4, TLS 1.2 solo suite GCM ecc.

Inoltre, può avere un ordine di preferenza della suite di cifratura differente (vale a dire un ordine diverso per una versione diversa)? ad es. RC4 in cima all'elenco per SSL 3 e ultimo per TLS 1.0, 1.1 1.2

Qualche server web fornisce tale funzionalità Apache, Nginx, IIS ecc.

    
posta bhushan5640 01.08.2016 - 08:49
fonte

2 risposte

7

In teoria sarebbe possibile impostare i codici e l'ordine di cifratura disponibili in base alla versione del protocollo TLS utilizzata dal client. In pratica nessuno dei comuni server Web supporta questo.

A parte questo, è discutibile quale uso avrebbe questa caratteristica, perché la selezione del codice è fatta in base alle cifre offerte dal client. Ad esempio, se il client non offre crittografie GCM con TLS 1.2 (che è possibile), l'handshake potrebbe effettivamente fallire se solo le crittografie GCM sono disponibili sul lato server con TLS 1.2. Pertanto, lo scopo principale sarebbe probabilmente solo quello di ingannare strumenti di analisi come SSL Labs per far sembrare che il sito non supporti RC4 anche se lo fa per i client più vecchi.

    
risposta data 01.08.2016 - 08:55
fonte
0

In NGINX puoi fornire elenchi di protocolli e cifrari, sembra che:

ssl_protocols *insert protocols here*;
ssl_ciphers *insert ciphers here*;

puoi inserire questo nel tuo vhost config, oppure, se usi più vhosts, puoi inserirlo in un file separato e solo includerlo nei tuoi vhost

    
risposta data 01.08.2016 - 11:52
fonte

Leggi altre domande sui tag