Entendiendo el conjunto de cifrado SSL en Apache

0

Al leer la documentación Documentación de Apache . Se ha dado un ejemplo de suite de cifrado:

RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5

He entendido la explicación dada por ellos. Mi pregunta es si decide el orden de la suite de cifrado?

Significado: ¿Se ha dado prioridad a los cifrados RC4-SHA? ¿O un cifrado que se obtiene haciendo coincidir todos los cifrados dados?

¿Puede alguien explicar claramente lo que significa?

    
pregunta KESHAV K 12.07.2018 - 16:54
fuente

1 respuesta

2

Sí, el orden de SSLCipherSuite de Apache indica el orden preferido. Para citar el enlace que ha proporcionado (énfasis mío),

  

Ahora, cuando esto se vuelve interesante es que se pueden juntar   para especificar el orden y los cifrados que desea utilizar

Durante el protocolo de enlace TLS, el cliente presenta su conjunto de cifrado y, a continuación, el servidor seleccionará el cifrado adecuado para usar, según lo dictado por SSLHonorCipherOrder . Si es off (el valor predeterminado), entonces el servidor considerará cada cifrado en Server suite order y usará el primer cifrado que también está presente en la suite del cliente. Si es on , entonces el servidor considerará cada cifrado en Orden de la suite del cliente y usará el primer cifrado que también está presente en la suite del servidor. (Gracias a @ steffen-ullrich por corregirme en ese detalle).

Debido a que SSLCipherSuite acepta alias que se asignan a más de un cifrado (por ejemplo, " HIGH ", " MEDIUM ", " !MD5 "), puede ver el orden de cifrado real del servidor que resulta del SSLCipherSuite cadena usando openssl ciphers :

$ openssl ciphers 'RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5'
RC4-SHA:AES128-SHA:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:SRP-DSS-AES-256-CBC-SHA:SRP-RSA-AES-256-CBC-SHA:SRP-AES-256-CBC-SHA:DH-DSS-AES256-GCM-SHA384:DHE-DSS-AES256-GCM-SHA384:DH-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA256:DH-RSA-AES256-SHA256:DH-DSS-AES256-SHA256:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DH-RSA-AES256-SHA:DH-DSS-AES256-SHA:DHE-RSA-CAMELLIA256-SHA:DHE-DSS-CAMELLIA256-SHA:DH-RSA-CAMELLIA256-SHA:DH-DSS-CAMELLIA256-SHA:ECDH-RSA-AES256-GCM-SHA384:ECDH-ECDSA-AES256-GCM-SHA384:ECDH-RSA-AES256-SHA384:ECDH-ECDSA-AES256-SHA384:ECDH-RSA-AES256-SHA:ECDH-ECDSA-AES256-SHA:AES256-GCM-SHA384:AES256-SHA256:AES256-SHA:CAMELLIA256-SHA:PSK-AES256-CBC-SHA:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:SRP-DSS-AES-128-CBC-SHA:SRP-RSA-AES-128-CBC-SHA:SRP-AES-128-CBC-SHA:DH-DSS-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:DH-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-DSS-AES128-SHA256:DH-RSA-AES128-SHA256:DH-DSS-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DH-RSA-AES128-SHA:DH-DSS-AES128-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-DSS-CAMELLIA128-SHA:DH-RSA-CAMELLIA128-SHA:DH-DSS-CAMELLIA128-SHA:ECDH-RSA-AES128-GCM-SHA256:ECDH-ECDSA-AES128-GCM-SHA256:ECDH-RSA-AES128-SHA256:ECDH-ECDSA-AES128-SHA256:ECDH-RSA-AES128-SHA:ECDH-ECDSA-AES128-SHA:AES128-GCM-SHA256:AES128-SHA256:CAMELLIA128-SHA:PSK-AES128-CBC-SHA:DHE-RSA-SEED-SHA:DHE-DSS-SEED-SHA:DH-RSA-SEED-SHA:DH-DSS-SEED-SHA:SEED-SHA:ECDHE-RSA-RC4-SHA:ECDHE-ECDSA-RC4-SHA:ECDH-RSA-RC4-SHA:ECDH-ECDSA-RC4-SHA:PSK-RC4-SHA:ECDHE-RSA-DES-CBC3-SHA:ECDHE-ECDSA-DES-CBC3-SHA:SRP-DSS-3DES-EDE-CBC-SHA:SRP-RSA-3DES-EDE-CBC-SHA:SRP-3DES-EDE-CBC-SHA:EDH-RSA-DES-CBC3-SHA:EDH-DSS-DES-CBC3-SHA:DH-RSA-DES-CBC3-SHA:DH-DSS-DES-CBC3-SHA:ECDH-RSA-DES-CBC3-SHA:ECDH-ECDSA-DES-CBC3-SHA:DES-CBC3-SHA:PSK-3DES-EDE-CBC-SHA
    
respondido por el gowenfawr 12.07.2018 - 17:01
fuente

Lea otras preguntas en las etiquetas