¿Se recomienda AES-GCM para SSL?

se recomienda GCM; incluso es aprobado por NIST . Sin embargo, los cifrados AEAD solo se admiten en TLS desde TLS 1.2 ; consulte la sección 6.2.3.3, que es nueva, en comparación con TLS 1.1 . Las suites de cifrado reales compatibles con GCM se definen en RFC 5288 . Tenga en cuenta que TLS 1.2 (y, en realidad, TLS 1.1 también) es inmune a los ataques tipo BESTIA cuando se usa CBC.

Por lo tanto, tendrá dificultades para encontrar un navegador web que admita GCM en este momento (escribo estas líneas en enero de 2013; es de esperar que el soporte de TLS 1.2 + GCM se generalice en algún momento ). Todavía está bien habilitarlo, y si el cliente lo admite, tanto mejor; GCM será más ligero en los procesadores x86 recientes con los opcodes AES-NI (estos opcodes han sido diseñados especialmente para GCM, en en particular PCLMULQDQ que implementa multiplicaciones en GF (2) [X] ). No es que el costo de la CPU de las suites de cifrado TLS tradicionales sea tan alto, pero es intelectualmente agradable saber que cada núcleo de servidor podría admitir un ancho de banda de 5 Gbit / s.

Pero si desea que los navegadores existentes realmente digan, explore su servidor, entonces también deberá permitir más conjuntos de cifrado "primitivos", aunque solo sea como un recurso alternativo.

Me doy cuenta de que la publicación es de 2013, pero encontré esta publicación al investigar un parche para la última vulnerabilidad de openSSL anunciada el 3 de mayo de 2016 (Información - enlace ). El parche recomendado es el conjunto de cifrado TLS1.2 + AES-GCM.

El navegador más reciente en el último sistema operativo debería tener soporte para AES-GCM en este punto. Si aún desea confirmar esto, esta herramienta ( enlace ) proporcionará información sobre los conjuntos de cifrado SSL admitidos por su navegador.