He trabajado con certificados TLS antes, pero solo en un nivel básico. Estoy tratando de entender algunas recomendaciones específicas para implementar TLS (citado a continuación).
(Para el contexto, mi objetivo es asegurar las conexiones HTTPS a una página web que recopila información del usuario a través de un formulario).
Aquí están las recomendaciones (son de este artículo ):
Si no es una organización gubernamental pero tiene requisitos de cumplimiento de HIPAA y tiene que interactuar con personas que utilizan una amplia gama de sistemas y dispositivos, le recomendamos lo siguiente:
- Admite TLS 1.0, 1.1 y 1.2+
- Utilice todos los cifrados que no sean DES de [ciertas listas]
A continuación se muestra mi intento de interpretar esto. Espero que puedas decirme lo que he hecho bien o mal.
-
La versión TLS es una propiedad de connection (en mi caso, entre el navegador y el servidor web), no una propiedad del certificado. En otras palabras, cuando veo "Protocolo: TLS 1.2" en la pestaña Seguridad de las herramientas de desarrollo de Chrome , significa que el navegador se está comunicando con el servidor utilizando la versión 1.2 del protocolo TLS. No tiene sentido hablar de la versión TLS de un certificate.
-
La recomendación de admitir muchos cifrados diferentes solo se aplica si estoy implementando un cliente TLS . En mi caso, el navegador es el cliente, por lo tanto, cuando genero mi certificado, solo necesito elegir un solo cifrado que (a) esté en la lista aprobada, y (b) sea compatible con todos los navegadores principales.
¿Esto es correcto? ¿Inexacto?