Ho già lavorato con i certificati TLS, ma solo a un livello base. Sto cercando di capire alcuni consigli specifici per l'implementazione di TLS (citati sotto).
(Per contesto, il mio obiettivo è quello di proteggere le connessioni HTTPS a una pagina Web che raccoglie le informazioni dell'utente tramite un modulo.)
Ecco i consigli (sono tratti da questo articolo ):
If you are not a government organization but have HIPAA-compliance requirements and have to interact with people using a wide array of systems and devices, we would recommend the following:
- Support TLS 1.0, 1.1, and 1.2+
- Use all of the non-DES ciphers from [certain lists]
Di seguito è il mio tentativo di interpretare questo. Spero che tu possa dirmi cosa ho sbagliato o sbagliato.
-
La versione TLS è una proprietà della connessione (nel mio caso, tra il browser e il server web) - non una proprietà del certificato. In altre parole, quando vedo "Protocollo: TLS 1.2" nella scheda Sicurezza degli strumenti di sviluppo di Chrome , significa che il il browser sta comunicando con il server utilizzando la versione 1.2 del protocollo TLS. Non ha senso parlare della versione TLS di un certificato .
-
La raccomandazione di supportare molti codici diversi si applica solo se sto implementando un client di TLS. Nel mio caso, il browser è il client, quindi, quando creo il mio certificato, devo solo scegliere un singolo codice che (a) si trova nell'elenco approvato e (b) è supportato da tutti i principali browser.
È accurato? Inesatte?