No soy un experto en esta área, pero después de algunas búsquedas no estoy muy seguro de la solución.
Un proveedor externo que realiza una prueba de concentración en nuestro servidor informó que tenemos TLS_RSA_WITH_3DES_EDE_CBC_SHA con 112 bits habilitados y lo reportamos como una amenaza. He leído que dichos cifrados se pueden desactivar en el sitio de Microsoft (estamos en Windows Server 2008) que es genial, pero después de leer un poco más sobre lo que esto significa en un forum veo que es una baja de 168 debido a una vulnerabilidad.
Extraer:
No soy un crypto-nerd pero si leo esta explicación correctamente, ese cifrado en particular tiene una seguridad efectiva de 112 bits, pero si el cifrado se logra mediante el uso de 3 claves de 56 bits (3 X 56 = 168)
Respuesta:
"Uno podría esperar que 3TDEA proporcione 56 × 3 = 168 bits de fuerza. Sin embargo, hay un ataque en 3TDEA que reduce la fuerza del trabajo que estaría involucrado en el agotamiento de una clave de 112 bits"
Puedo confirmar que SSLLabs califica de hecho que este cifrado sea 112 no 168, que supongo se debe a la vulnerabilidad.
en esta entrada se menciona que está relacionada con OpenSSL
Como actualización, a partir de la instantánea del 20 de junio de la base de código de OpenSSL, la fortaleza informada de las suites de cifrado 3DES ahora es de 112 bits en lugar de 168.
Ok. Si esto es correcto, ¿entonces esta rebaja solo puede aplicarse a los certificados emitidos con OpenSSL? No estoy seguro de cuál es la vulnerabilidad exacta que está causando la rebaja a 112.
De cualquier manera, ¿cuál es el enfoque real para deshabilitar esto? ¿Debo establecer la clave de registro (habilitada = 0x0) en las siguientes subclaves ?:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\
Triple DES 112/112
o:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\
Triple DES 168/168
o ambos, o algo más?
No puedo aplicar el cambio yo mismo, ya que no tengo permisos en estos servidores, pero necesito dar instrucciones a la persona que realizará el cambio.