Apache2 SSLCipherSuite - perché usare qualcosa di diverso da alto?

2

Attualmente sto partecipando a una conferenza nella mia università che si chiama "architettura del sistema e sicurezza". Una parte di questo semestre consiste nell'impostare la nostra fetta e hackerarci l'un l'altro. Dobbiamo anche creare un servizio web che utilizza HTTPS (e molto altro ancora).

Ora la mia domanda è quando configuro l'apache2 Voglio impostare uno standard elevato nella crittografia SSL (SSLCipherSuite). Ma non riesco a trovare nulla di veramente concreto sulle differenze e sul perché qualcuno farebbe qualcos'altro oltre a HIGH. Dosaggio che dice semplicemente al browser che deve comunicare utilizzando metodi di crittografia avanzati? Rende la comunicazione più lenta?

Qualcuno potrebbe spiegarmelo? O link a un articolo che lo spiega bene? Non sono stato in grado di trovarlo ...

    
posta Ronnie Jespersen 09.11.2012 - 11:30
fonte

1 risposta

1

L'elenco HIGH fa parte della classificazione di OpenSSL . Può variare a seconda della versione di OpenSSL e altri stack potrebbero non avere la stessa classificazione (o nessuna classificazione alta / media / bassa).

In alcuni casi, potresti volere "più alto" di HIGH. Ad esempio, l'elenco HIGH per OpenSSL 1.0.1 include alcune suite di crittografia non DHE. Se la segretezza Perfect-Forward è importante per te, potresti essere un po 'più restrittivo e utilizzare solo un sottoinsieme di questi pacchetti di crittografia (con DHE).

In altri casi, potresti semplicemente dover interagire con stack che non supportano nessuna delle suite di crittografia HIGH, sfortunatamente ... Non è grandioso, ma è un esercizio di valutazione del rischio per valutare se puoi tagliare quei client oppure no, a seconda della tua attività o del tuo servizio.

Inoltre, se vengono visualizzati alcuni problemi e viene richiesta una diversa scelta di pacchetti di crittografia (ad es. l'incidente BEAST ), potresti voler impostare esplicitamente l'elenco delle suite di crittografia. L'adattamento della configurazione della suite di crittografia richiede spesso meno lavoro rispetto alla distribuzione di una nuova versione di OpenSSL su un sistema esistente. Dovresti certamente aggiornare la libreria stessa se ci fosse un difetto nella sua implementazione, ma spesso causa più problemi che ne vale la pena se vuoi semplicemente una nuova configurazione di lista HIGH da quell'aggiornamento, specialmente se per un problema che può essere risolto (o almeno attenuato, questo dipende dalla propria valutazione del rischio) cambiando l'elenco delle suite di crittografia.

    
risposta data 09.11.2012 - 12:24
fonte

Leggi altre domande sui tag