A la luz de la reciente vulnerabilidad de FREAK, estoy tratando de controlar qué cifrados están utilizando las conexiones entrantes. Tengo un rastreo de FTP que me indica qué cifrados se están negociando entre los clientes externos y el sistema que estoy usando. Sin embargo, me gustaría saber qué es lo que realmente negocia el cifrado SSL. ¿Lo negocia el software cliente como FileZilla, etc. o lo negocia el sistema operativo? ¿Algo más?
En SSL / TLS el cliente sugiere pero el servidor elige . El cliente envía una lista de suites de cifrado compatibles y el servidor selecciona uno en esa lista. La lista enviada por el cliente está ordenada por preferencia, pero nada obliga al servidor a respetar realmente las preferencias del cliente.
Tanto en el lado del cliente como del servidor, como explica @schroeder, el software de la aplicación realmente hace el trabajo, pero puede mantener su configuración en un emplazamiento centralizado, especialmente si el sistema operativo proporciona la implementación real del protocolo. En general, dicha centralización es mucho más común en el mundo de Windows que en el ecosistema de Linux.
El cliente de FileZilla utiliza GnuTLS por su implementación SSL / TLS; que yo sepa, como biblioteca, no utiliza ninguna configuración centralizada para los detalles del protocolo del lado del cliente, por lo que cualquier lista de conjuntos de cifrado compatibles enviados por FileZilla se decidirá por el código de la aplicación FileZilla en sí, o, más probablemente, , solo usan la configuración predeterminada de GnuTLS.
La negociación de la suite de cifrado ocurre en el protocolo de enlace TLS como primer paso. Las aplicaciones / servicios en sí mismos determinan qué suites de cifrado admiten y ambos extremos concuerdan con qué suites usar.
La pregunta "si el sistema operativo negocia la suite de cifrado" está un poco confundida en Windows por el hecho de que muchas de las configuraciones de servicio (IIS, por ejemplo) son almacenado en el registro , que puede hacer que parezca que el sistema operativo es el que realiza la negociación. Pero, la idea es que es el servicio (w3svc) el que hace la negociación, y su configuración se almacena en el registro del sistema operativo.
Lea otras preguntas en las etiquetas operating-systems tls ftp