¿Es suficiente con cifrados SSL el RC4-MD5 / RC4-SHA para la mayoría de los propósitos?

4

En el ELB de AWS, cargué un certificado y solo seleccioné " RC4-MD5 " + " RC4-SHA " como cifrados y obtuve una calificación de A en el < strong> ssltest [1]

Si uso la configuración ELB predeterminada, solo puedo obtener un C

Ya que no estoy haciendo un sitio compatible con PCI, por lo que al usar solo los dos cifrados anteriores, ¿es suficiente para la mayoría de los propósitos? (Me refiero a una amplia gama de compatibilidad con navegadores)

[1] enlace

    
pregunta Ryan 22.07.2013 - 19:11
fuente

1 respuesta

5

Respuesta corta: sí, las cosas estarán bien .

RC4, MD5 y, en una medida menor, SHA-1 tienen algunos defectos conocidos, pero ninguno de ellos debilitará su sitio web. Para ser precisos: si el uso de un conjunto de cifrado RC4-MD5 hace que su sitio web sea significativamente más débil, entonces es extremadamente sólido, más sólido de lo que parece ser accesible, de hecho.

Sin embargo, es posible que desee agregar un poco más de cifrado, por ejemplo. con soporte para 3DES y / o AES, para dar cabida a clientes restringidos. Algunas personas entendieron mal los mensajes, entraron en pánico y desactivaron RC4 por completo de sus navegadores.

El "puntaje" en ssltest casi no tiene sentido. No leas mucho en ello. Es como la reputación en seguridad.SE: se relaciona más con los esfuerzos invertidos en obtener una puntuación alta que con la seguridad real.

    
respondido por el Thomas Pornin 22.07.2013 - 19:18
fuente

Lea otras preguntas en las etiquetas