¿Puede un certificado SSL dictar el protocolo?

4

Sé que puede configurar el protocolo / cifrado a través de su servidor web:

Nginx:

ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers         HIGH:!aNULL:!MD5;

Apache:

SSLProtocol all -SSLv2
SSLCipherSuite HIGH:!aNULL:!MD5

Pero mi pregunta es ¿se puede crear un certificado SSL para trabajar solo con ciertos protocolos?

¿Y se puede crear un certificado para trabajar solo con ciertas cifras?

    
pregunta Arian Faurtosh 13.07.2016 - 19:39
fuente

2 respuestas

6
  

.. para trabajar solo con ciertos protocolos? .. para trabajar solo con ciertas cifras?

Los certificados son en su mayoría independientes del protocolo.

Pero existe una ligera correlación entre el certificado y el cifrado: una parte del cifrado especifica el algoritmo de autenticación y los posibles algoritmos dependen del tipo de certificado. Esto significa que no puede utilizar un certificado RSA con un cifrado * _ECDSA_ * y ningún certificado ECDSA con intercambio de claves RSA. También hay cifrados ECDH (no ECDHE) y DH (no DHE) que requieren información específica en el certificado. Pero la elección del cifrado simétrico (es decir, AES, RC4 ...) y el HMAC es independiente del certificado.

Lo que significa el tipo de límite de certificado que se pueden usar los cifrados, pero no puede restringir los posibles cifrados o protocolos directamente con alguna información en el certificado.

    
respondido por el Steffen Ullrich 13.07.2016 - 20:19
fuente
1

Le ayudaría si piensa en la autenticación basada en el certificado o en la verificación de identidad, aparte del intercambio de integridad, donde realmente entran los cifrados SSL.

El certificado solo sirve para verificar que el servidor "X" es realmente "X" y no "x".

Los cifrados, en cambio, se utilizan para proporcionar un mecanismo donde se establece la clave simétrica para el intercambio de datos. Como puede suponer, esta fase pasaría una vez que se haya establecido la autenticidad del servidor.

    
respondido por el sandyp 13.07.2016 - 20:47
fuente

Lea otras preguntas en las etiquetas