Limita le suite di crittografia all'interno di specifiche versioni di protocollo

2

Devo disattivare i cifrari deboli all'interno di una versione di protocollo debole, ovvero TLS 1.0, su un server Windows 2012 R2 con IIS. Comprendo che le suite di crittografia sono legate al protocollo, ad esempio TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384 sarebbe specifico per TLS. Sono in grado di disabilitare la suite di crittografia in regedit, ma non riesco a farlo solo per TLS versione 1.0.

Contesto

Una parte del mio hardening di IIS8.5 richiede la disabilitazione di TLS1.0, che sfortunatamente non riesco a farlo a causa dei requisiti aziendali (le macchine client su cui non ho il controllo non hanno TLS1.2 abilitato). La prossima alternativa migliore sarebbe disabilitare tutti i codici per TLS1.0 che le aziende non richiedono.

Qualcuno può far luce?

Tabelle di riferimento dalla Wiki :

    
posta George 24.08.2016 - 13:33
fonte

1 risposta

3

Anche se sarebbe teoricamente possibile che uno stack TLS offra la configurazione che ti piace, gli stack TLS comuni non lo consentono. Ti permettono di limitare la versione del protocollo e ti permettono di limitare i codici ma non ti permettono di limitare i codici per una specifica versione di protocollo.

The next best workaround would be to disable the weak ciphers for TLS1.0.

Se una cifra è debole, disabilitala per tutte le versioni del protocollo, non solo per TLS 1.0. Non so se un codice che è considerato debole con TLS 1.0, ma è considerato strong con TLS 1.2.

    
risposta data 24.08.2016 - 16:29
fonte

Leggi altre domande sui tag