Eliminando el soporte de cifrado débil de TLS

1

Hemos realizado una auditoría en nuestros servidores públicos con SSL y hemos recibido algunas advertencias sobre sistemas de cifrado débiles y posibles vulnerabilidades de SWEET32.

Nuestra intención es eliminar todos los cifrados que están protegidos con 3DES, a saber:

TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA 

and

TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) 

Comprendo que esto eliminará de manera efectiva el soporte para navegadores muy antiguos como IE7 / 8 que se ejecutan en XP, pero ¿existen otros posibles impactos negativos de esta acción?

    
pregunta iainpb 12.07.2017 - 13:05
fuente

3 respuestas

2

Utimamente depende del entorno de tu cliente. Si está hablando de un sitio web típico, con un conjunto típico de clientes modernos, entonces no, probablemente no verá ningún problema significativo.

Sin embargo, si atiende a una gran cantidad de usuarios en países en desarrollo que utilizan dispositivos móviles muy antiguos, o si sus clientes son dispositivos integrados que no reciben actualizaciones, es posible que tenga problemas.

Probablemente ya tenga una buena idea, pero si tiene dudas, la manera de obtener un estimado de alta fidelidad de si la desactivación de las suites 3DES causará problemas en su sistema es monitorear durante un tiempo, capturando los saludos del cliente que se le envían a su Sistema y analizarlos para determinar qué clientes reales de su sistema dicen ser capaces de negociar.

    
respondido por el Xander 12.07.2017 - 14:37
fuente
1

Si solo tiene navegadores web actuales como clientes, la eliminación de 3DES no es un problema. Pero si tiene algunos clientes especiales, antiguos y quizás también integrados con un mínimo de pilas SSL / TLS, entonces puede haber un problema. A veces, estos clientes mínimos están restringidos a los cifrados más simples, normalmente RC4 y / o 3DES.

    
respondido por el Steffen Ullrich 12.07.2017 - 14:50
fuente
0

Busqué en Internet y al menos ibm y microsoft están eliminando 3des. Supongo que ese es el futuro y no debería haber más problemas PERO no soy un experto, por lo que te aconsejaría escuchar más opiniones antes de hacerlo.

    
respondido por el user153106 12.07.2017 - 14:15
fuente

Lea otras preguntas en las etiquetas