Restrinja los conjuntos de cifrado dentro de versiones de protocolo específicas

2

Necesito deshabilitar los cifrados débiles dentro de una versión de protocolo débil, a saber TLS1.0, en un servidor Windows 2012 R2 que ejecute IIS. Entiendo que las suites de cifrado están vinculadas al protocolo, es decir, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384 sería específico de TLS. Puedo deshabilitar la suite de cifrado en regedit, pero no puedo hacerlo solo para TLS versión 1.0.

Context

Parte de mi fortalecimiento de IIS8.5 requiere la desactivación de TLS1.0, que desafortunadamente no puedo hacerlo debido a los requisitos del negocio (las máquinas cliente sobre las que no tengo control no tienen habilitado TLS1.2). La siguiente mejor alternativa sería deshabilitar tantos cifrados para TLS1.0 que las empresas no requieren.

¿Alguien puede arrojar algo de luz?

Tablas de referencia de Wiki :

    
pregunta George 24.08.2016 - 13:33
fuente

1 respuesta

3

Aunque en teoría sería posible que una pila TLS ofrezca la configuración que le gusta, las pilas TLS comunes no permiten esto. Le permiten limitar la versión del protocolo y le permiten limitar los cifrados, pero no le permiten limitar los cifrados solo para una versión específica del protocolo.

  

La mejor solución alternativa sería deshabilitar los cifrados débiles para TLS1.0.

Si el cifrado es débil, debe deshabilitarlo para todas las versiones de protocolo, no solo para TLS 1.0. No sé si algún cifrado se considera débil con TLS 1.0 pero se considera fuerte con TLS 1.2.

    
respondido por el Steffen Ullrich 24.08.2016 - 16:29
fuente

Lea otras preguntas en las etiquetas