Endurecimiento de conjuntos de cifrado en Windows Server 2012 R2

3

Actualmente estoy en el proceso de compilar una política de Ciphersuite para ser usada en todos nuestros nuevos WS 12 & Servidores web IIS 8.5. En el pasado, siempre he aplicado manualmente las claves de registro en SChannel, pero he encontrado la herramienta útil, IIS Crypto.

Siempre tuve la intención de deshabilitar SSLv3 y he querido hacer esto durante bastante tiempo. El anuncio de POODLE me ha permitido finalmente realizar el traspaso y desactivar este protocolo.

He leído que la vulnerabilidad es evidente con los cifrados CBC cuando se utiliza con SSLv3. Teniendo esto en cuenta, en la lista Cipher Suite Order dentro de IIS Crypto, ¿está bien dejar habilitados los conjuntos de cifrado que usen CBC siempre que SSLv3 esté desactivado en Protocolos ? lista?

Gracias.

    
pregunta JLPH 23.10.2014 - 13:15
fuente

1 respuesta

3

Sí, está bien tener conjuntos de cifrado CBC en la lista siempre que SSLv3.0 esté deshabilitado. El problema no es el modo CBC en sí, sino la especificación SSLv3.0 para el formato de relleno. El formato de relleno en TLSv1.0 es más restrictivo, por lo que ya no existe la maleabilidad necesaria para montar el ataque POODLE.

    
respondido por el Xander 23.10.2014 - 16:10
fuente

Lea otras preguntas en las etiquetas