Abbiamo eseguito un controllo sui nostri server pubblici con SSL e abbiamo ricevuto alcuni avvisi per cifrari deboli e potenziali vulnerabilità SWEET32.
È nostra intenzione rimuovere ogni cifra crittografata con 3DES, ovvero:
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
and
TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa)
Capisco che questo ucciderà efficacemente il supporto per browser molto vecchi come IE7 / 8 in esecuzione su XP, ma ci sono altri potenziali effetti negativi di questa azione?
In pratica dipende dal tuo ambiente client. Se stai parlando di un tipico sito Web, con un tipico gruppo di client moderni, allora no, probabilmente non vedrai problemi significativi.
Se, tuttavia, servi una grande popolazione di utenti nei paesi in via di sviluppo che utilizzano dispositivi mobili molto vecchi, o se i tuoi clienti sono dispositivi incorporati che non ricevono aggiornamenti, potresti effettivamente avere problemi.
Probabilmente hai già una buona idea, ma se hai dubbi, il modo per ottenere una stima ad alta fedeltà della disattivazione delle suite 3DES causerà il monitoraggio dei tuoi problemi di sistema per un po ', catturando il client che viene inviato al tuo sistema e analizzandoli per determinare quali cipheruites clienti reali del vostro sistema affermano di essere in grado di negoziare.
Se hai solo browser Web correnti come client, rimuovere 3DES non è un problema. Ma se si dispone di alcuni client speciali, vecchi e forse anche integrati con stack SSL / TLS minimi, potrebbe esserci un problema. A volte questi client minimali sono limitati ai più semplici cifrari, tipicamente RC4 e / o 3DES.
Ho cercato su internet e almeno ibm e microsoft stanno rimuovendo 3des, immagino che sia il futuro e non ci dovrebbero essere più problemi MA non sono un esperto quindi ti consiglierei di sentire più opinioni prima di farlo.
Leggi altre domande sui tag tls cipher-selection