![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
Especificações de Cifras SSL
Quando uma conexão SSL é estabelecida, o cliente (navegador da Web) e o servidor da Web negociam o código a utilizar para a conexão. O servidor da Web tem uma lista ordenada de códigos e o primeiro código na lista que é suportado pelo cliente é selecionado.
Introdução
Visualize
a lista de códigos de SSL atuais.
Atenção: Esta lista
de códigos poderá ser alterada como resultado das atualizações nos Padrões de mercado. É possível determinar a lista de cifras suportadas em uma determinada versão do IBM® HTTP Server configurando-a para carregar mod_ibm_ssl e executando bin/apachectl -t -f path/to/httpd.conf
-DDUMP_SSL_CIPHERS.
A diretiva SSLFIPSEnable ativa o FIPS (Federal Information Processing Standards). Quando a diretiva SSLFIPSEnable é ativada, o conjunto de códigos disponíveis é restringido conforme mostrado e SSLv2 e SSLv3 são desativados.

- As cifras que contêm "ECDHE" no nome apenas estão disponíveis no 8.5.0.2/8.0.0.6 e posterior.
- As cifras que contêm "ECDHE" no nome devem ser ativadas explicitamente e devem ser ativadas pelo "nome longo".
- Cifras que contêm "ECDHE_RSA" em seu nome usam um certificado RSA padrão e podem coexistir com cifras RSA e clientes mais antigos.
- As cifras que contêm "ECDHE_ECDSA" no nome requerem que um certificado/chave ECC (Elliptic Curve Cryptography) seja criado (com gskcapicmd se você estiver executando em uma plataforma distribuída ou gskkyman se você estiver executando no z/OS).
No z/OS, vários critérios devem ser atendidos para usar cifras "ECDHE":
- O TLSv1.2 deve ser ativado explicitamente usando a diretiva SSLProtocolEnable.
- z/OS V1R13 com OA39422, ou posterior, é necessário para usar TLSv1.2 no z/OS.
- O ICSF deve estar disponível para usar o ECC ou as cifras AES-GCM. Consulte "RACF CSFSERV Resource Requirements" in the z/OS Cryptographic Services System SSL Programming para obter mais informações.
Códigos SSL e TLS
Atenção: Observe os valores de código SSL e TLS
a seguir:
- - = código que não é válido para o protocolo
- d = código é ativado por padrão
- y = código é válido mas não ativado por padrão
Atenção: TLS
v1.1 e v1.2 não estão disponíveis no sistema operacional z/OS, a menos que duas condições sejam atendidas:
- z/OS V1R13 com OA39422, ou posterior, é necessário.
- Deve-se atualizar a configuração do IBM HTTP Server para especificar SSLProtocolEnable TLSv1.1 TLSv1.2.

Nome Abreviado | Nome Longo | Tamanho da chave (bits) | FIPS | SSLV2 | SSLV3 | TLSv10 | TLSv11 | TLSv12 |
---|---|---|---|---|---|---|---|---|
35 | SSL_RSA_WITH_RC4_128_SHA | 128 | - | - | I | I | I | I |
34 | SSL_RSA_WITH_RC4_128_MD5 | 128 | - | - | I | I | I | - |
9C | TLS_RSA_WITH_AES_128_GCM_SHA256 | 128 | I | - | - | - | - | d |
9D | TLS_RSA_WITH_AES_256_GCM_SHA384 | 256 | I | - | - | - | - | d |
3C | TLS_RSA_WITH_AES_128_CBC_SHA256 | 128 | I | - | - | - | - | d |
3D | TLS_RSA_WITH_AES_256_CBC_SHA256 | 256 | I | - | - | - | - | d |
2F | TLS_RSA_WITH_AES_128_CBC_SHA | 128 | I | - | I | d | d | d |
35b | TLS_RSA_WITH_AES_256_CBC_SHA | 256 | I | - | I | d | d | d |
3A | SSL_RSA_WITH_3DES_EDE_CBC_SHA | 168 | I | - | I | d | d | d |
C007 | TLS_ECDHE_ECDSA_WITH_RC4_128_SHA | 128 | I | - | - | - | - | d* |
C008 | TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA | 168 | I | - | - | - | - | d* |
C009 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | 128 | I | - | - | - | - | d* |
C00A | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | 256 | I | - | - | - | - | d* |
C010 | TLS_ECDHE_RSA_WITH_NULL_SHA | 0 | I | - | - | - | - | d* |
C011 | TLS_ECDHE_RSA_WITH_RC4_128_SHA | 128 | I | - | - | - | - | d* |
C012 | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA | 168 | I | - | - | - | - | d* |
C013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | 128 | I | - | - | - | - | d* |
C014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | 256 | I | - | - | - | - | d* |
C023 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | 128 | I | - | - | - | - | d* |
C024 | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | 256 | I | - | - | - | - | d* |
C027 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | 128 | I | - | - | - | - | d* |
C028 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | 256 | I | - | - | - | - | d* |
C02B | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | 128 | I | - | - | - | - | d* |
C02C | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | 256 | I | - | - | - | - | d* |
C02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | 128 | I | - | - | - | - | d* |
C030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | 256 | I | - | - | - | - | d* |
Atenção: * indica que o SSLv3 fica desativado por padrão.
Nota: Cifras ECDHE são ativadas por padrão para TLSv1.2, exceto em plataformas z/OS (denotada com d*).
Códigos fracos, não ativados por padrão:
Nome Abreviado | Nome Longo | Tamanho da chave (bits) | FIPS | SSLV2 | SSLV3 | TLSv10 | TLSv11 | TLSv12 |
---|---|---|---|---|---|---|---|---|
39 | SSL_RSA_WITH_DES_CBC_SHA | 56 | - | - | y | y | y | - |
33 | SSL_RSA_EXPORT_WITH_RC4_40_MD5 | 40 | - | - | y | y | - | - |
36 | SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5 | 40 | - | - | y | y | - | - |
62 | TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA | 56 | - | - | y | y | - | - |
64 | TLS_RSA_EXPORT1024_WITH_RC4_56_SHA | 56 | - | - | y | y | - | - |
32 | SSL_RSA_WITH_NULL_SHA | 0 | - | - | y | y | y | y |
31 | SSL_RSA_WITH_NULL_MD5 | 0 | - | - | y | y | y | - |
3B | TLS_RSA_WITH_NULL_SHA256 | 0 | I | - | - | - | - | y |
30 | SSL_NULL_WITH_NULL_NULL | 0 | - | - | y | y | y | y |
27 | SSL_DES_192_EDE3_CBC_WITH_MD5 | 168 | - | y | - | - | - | - |
21 | SSL_RC4_128_WITH_MD5 | 128 | - | y | - | - | - | - |
23 | SSL_RC2_CBC_128_CBC_WITH_MD5 | 128 | - | y | - | - | - | - |
26 | SSL_DES_64_CBC_WITH_MD5 | 56 | - | y | - | - | - | - |
24 | SSL_RC2_CBC_128_CBC_EXPORT40_WITH_MD5 | 40 | - | y | - | - | - | - |
22 | SSL_RC4_128_EXPORT40_WITH_MD5 | 40 | - | y | - | - | - | - |
FE | SSL_RSA_FIPS_WITH_DES_CBC_SHA | 56 | - | - | - | - | - | - |
FF | SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA | 168 | - | - | - | - | - | - |