Criterio di crittografia su Windows Server 2012 R2

3

Sono attualmente in fase di compilazione di una politica Ciphersuite da utilizzare su tutti i nostri nuovi WS 12 e amp; Server Web IIS 8.5. In passato ho sempre applicato manualmente le chiavi di registro in SChannel, ma ho trovato lo strumento pratico, IIS Crypto.

Ho sempre avuto intenzione di disabilitare SSLv3 e volevo farlo da parecchio tempo. L'annuncio di POODLE mi ha permesso finalmente di passare e di rendere questo protocollo disabilitato.

Ho letto che la vulnerabilità è evidente con i cifrari CBC quando viene utilizzato con SSLv3. Con questo in mente, nella lista Cipher Suite Order in IIS Crypto, va bene lasciare le suite di cipher abilitate che usano CBC fintanto che SSLv3 è disabilitato nei Protocolli elencare?

Grazie.

    
posta JLPH 23.10.2014 - 13:15
fonte

1 risposta

3

Sì, è ok avere le cifrarie CBC nell'elenco purché SSLv3.0 sia disabilitato. Il problema non è la modalità CBC stessa, ma la specifica SSLv3.0 per il formato di riempimento. Il formato di riempimento in TLSv1.0 è più restrittivo, quindi la malleabilità richiesta per montare l'attacco POODLE non esiste più.

    
risposta data 23.10.2014 - 16:10
fonte

Leggi altre domande sui tag