Chrome / FF non negozia i codici avanzati?

2

Si è imbattuto in uno strano problema cercando di bloccare i nostri ELB AWS oggi, in particolare cercando di deprecare tutto il supporto per SHA-1.

Dopo aver rimosso opzioni come AES256-SHA ECDHE-RSA-AES256-SHA (tra le altre) dal nostro ELB esterno, Chrome e Firefox si sono rifiutati di connettersi. Stranamente, MS Edge e Safari erano ancora in grado di connettersi.

Chrome e FF hanno entrambi riportato ERR_SSL_VERSION_OR_CIPHER_MISMATCH.

Sulla base della mia migliore comprensione, non c'è motivo per cui Chrome o FF non debbano supportare blocchi di dimensioni maggiori per l'hashing SHA, vero? Dopotutto, SHA-1 è deprecato in generale. Abbiamo provato questo su diverse workstation / VM, ognuna con un sistema operativo diverso (Win10 e OS X El Capitan) e il risultato è stato lo stesso per Chrome e FF.

Anche il nostro certificato è stato firmato con SHA-256.

Spero di spiegarlo ragionevolmente bene.

* modifica: ho trovato un elenco correlato e sembra che l'hashing SHA-2 non sia supportato da Chrome in combinazione con AES-256.

    
posta thak 03.11.2015 - 16:57
fonte

1 risposta

3

After all, SHA-1 is deprecated in general.

No. SHA-1 è deprecato per le firme. Non è deprecato se usato come HMAC. Vedi anche Avviso di crittografia obsoleta (SHA1) sebbene il certificato usi SHA256 .

Our certificate was also signed with SHA-256.

Questo non è completamente correlato alla scelta del codice.

...there's no reason that Chrome or FF shouldn't support larger block sizes for SHA hashing, is there?

Oltre alle prestazioni probabilmente no. Ma non c'è motivo di avere un approccio alla sicurezza "miniera più grande". SHA-1 è salvato come HMAC e anche MD5 è salvato per questo scopo. Entrambi non sono sicuri per l'utilizzo nelle firme, ma questa è una cosa diversa.

    
risposta data 03.11.2015 - 21:06
fonte

Leggi altre domande sui tag