SSL: habilitación del secreto de reenvío con o sin RC4

2

Estoy ejecutando un servidor Apache 2 con Ubuntu 16. Aquí está mi configuración actual:

SSLProtocol All -SSLv2 -SSLv3

SSLHonorCipherOrder on

SSLCipherSuite

Estoy un poco confundido en cuanto a lo que debería usar para SSLCipherSuite . Lo tomo de este artículo aquí: enlace

¿Debería configurarlo con RC4 o sin RC4?

Un técnico de SSL me dijo que "con RC4" es muy débil. Quiero confirmar y ver si hay otras cosas que debería saber al respecto.

Preguntas :

  • ¿Cuál es la diferencia entre "con RC4" vs "sin RC4" y los pros y los contras de cada uno?
  • ¿Cuál debería usar?

¡Gracias!

    
pregunta Edward 17.02.2018 - 18:54
fuente

1 respuesta

3
  

¿Debería configurarlo con RC4 o sin RC4?

Definitivamente sin. De Wikipedia: RC4 :

  

A partir de 2015, se especula que algunas agencias criptológicas estatales pueden poseer la capacidad de romper RC4 cuando se usan en el protocolo TLS. IETF ha publicado RFC 7465 para prohibir el uso de RC4 en TLS ; Mozilla y Microsoft han emitido recomendaciones similares.

Aparte de eso, es mejor que uses el Mozilla SSL Configuration Generator para generar un configuración TLS apropiada para su configuración.

  

Lo tomo de este artículo aquí: enlace

Si bien no puedo encontrar ninguna fecha en la que se escribió este artículo, es una pena que DigiCert tenga un artículo en línea que promueva explícitamente el uso de RC4. Al menos la información sobre RC4 en este artículo está desactualizada y seguir este artículo daría lugar a una configuración insegura.

    
respondido por el Steffen Ullrich 17.02.2018 - 19:01
fuente

Lea otras preguntas en las etiquetas