Ho ricevuto i seguenti consigli per impostare le suite di crittografia per mitigare adeguatamente l'attacco di Beast su un server HTTPD Apache appena configurato.
Preferred ciphers: RC4-SHA, RC4-MD5
Must Have Ciphers: AES256-SHA, AES128-SHA, DES-CBC3-SHA, RC4-SHA, RC4-MD5
Voglio confermare la mia comprensione delle differenze tra "cifrari preferiti" e "cifrari obbligatori". Le mie domande sono:
-
Il consiglio indica che il server deve supportare i seguenti codici in questo ordine?
1. RC4-SHA 2. RC4-MD5 2. AES256-SHA 3. AES128-SHA 4. DES-CBC3-SHA
-
Il consiglio dovrebbe tradurre il seguente codice per Apache mod_ssl?
SSLHonorCipherOrder On SSLCipherSuite RC4-SHA:RC4-MD5:AES256-SHA:AES128-SHA:DES-CBC3-SHA
-
Il consiglio non dovrebbe davvero indicare:
Preferred ciphers: RC4-SHA, RC4-MD5, AES256-SHA, AES128-SHA, DES-CBC3-SHA Must Have Ciphers: AES256-SHA, AES128-SHA, DES-CBC3-SHA, RC4-SHA, RC4-MD5 OR Preferred & Must have ciphers: RC4-SHA, RC4-MD5, AES256-SHA, AES128-SHA, DES-CBC3-SHA
-
I termini "cifrario preferito" e "deve avere cifrato" sono termini comuni per esprimere le suite di crittografia nel mondo della sicurezza?
Grazie,
Giovanni