L'elenco HIGH
fa parte della classificazione di OpenSSL . Può variare a seconda della versione di OpenSSL e altri stack potrebbero non avere la stessa classificazione (o nessuna classificazione alta / media / bassa).
In alcuni casi, potresti volere "più alto" di HIGH. Ad esempio, l'elenco HIGH per OpenSSL 1.0.1 include alcune suite di crittografia non DHE. Se la segretezza Perfect-Forward è importante per te, potresti essere un po 'più restrittivo e utilizzare solo un sottoinsieme di questi pacchetti di crittografia (con DHE).
In altri casi, potresti semplicemente dover interagire con stack che non supportano nessuna delle suite di crittografia HIGH, sfortunatamente ... Non è grandioso, ma è un esercizio di valutazione del rischio per valutare se puoi tagliare quei client oppure no, a seconda della tua attività o del tuo servizio.
Inoltre, se vengono visualizzati alcuni problemi e viene richiesta una diversa scelta di pacchetti di crittografia (ad es. l'incidente BEAST ), potresti voler impostare esplicitamente l'elenco delle suite di crittografia. L'adattamento della configurazione della suite di crittografia richiede spesso meno lavoro rispetto alla distribuzione di una nuova versione di OpenSSL su un sistema esistente. Dovresti certamente aggiornare la libreria stessa se ci fosse un difetto nella sua implementazione, ma spesso causa più problemi che ne vale la pena se vuoi semplicemente una nuova configurazione di lista HIGH da quell'aggiornamento, specialmente se per un problema che può essere risolto (o almeno attenuato, questo dipende dalla propria valutazione del rischio) cambiando l'elenco delle suite di crittografia.