SSL - Abilitazione del segreto in avanti con o senza RC4

Question

SSL - Abilitazione del segreto in avanti con o senza RC4

#1 da (3 voti)

2

Sto usando un server Apache 2 con Ubuntu 16. Ecco la mia configurazione attuale:

SSLProtocol All -SSLv2 -SSLv3

SSLHonorCipherOrder on

SSLCipherSuite

Sono un po 'confuso su cosa dovrei usare per SSLCipherSuite . Sto prendendo da questo articolo qui: link

Devo configurarlo con RC4 o senza RC4?

Un tecnico SSL mi ha detto che "con RC4" è molto debole. Voglio confermare e vedere se ci sono altre cose che dovrei sapere a riguardo.

Domande:

Qual è la differenza tra "con RC4" vs "senza RC4" e i pro e i contro di ciascuno?
Quale dovrei usare?

Grazie!

apache ubuntu tls rc4 ciphers

posta Edward 17.02.2018 - 18:54

fonte

1 risposta

Leggi altre domande sui tag apache ubuntu tls rc4 ciphers

Dovrei pensare alla sicurezza a livello di riga / documento del database? Come si potrebbe verificare che la CPU POWER9 non contenga un sottosistema in stile AMT?

score 3 · Accepted Answer

Should I configure it with RC4 or without RC4?

Sicuramente senza. Da Wikipedia: RC4 :

As of 2015, there is speculation that some state cryptologic agencies may possess the capability to break RC4 when used in the TLS protocol. IETF has published RFC 7465 to prohibit the use of RC4 in TLS; Mozilla and Microsoft have issued similar recommendations.

A parte questo, è meglio usare il Mozilla SSL Configuration Generator per generare un configurazione TLS appropriata per la configurazione.

I'm taking it from this article here: https://www.digicert.com/ssl-support/ssl-enabling-perfect-forward-secrecy.htm

Anche se non riesco a trovare nessuna data in cui questo articolo è stato scritto, è un peccato che DigiCert abbia ancora un tale articolo online che promuova esplicitamente l'uso di RC4. Almeno le informazioni riguardanti RC4 in questo articolo sono obsolete e seguendo questo articolo porterebbe ad una configurazione non sicura.