![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
Especificaciones de cifrado SSL
Cuando se establece una conexión SSL, el cliente (navegador web) y el servidor web negocian el cifrado a utilizar para la conexión. El servidor web tiene una lista ordenada de cifrados y se selecciona el primer cifrado de la lista soportado por el cliente.
Introducción
Vea la
lista de cifrados SSL actuales.
Atención: Esta lista de
cifrados podría cambiar debido a actualizaciones de estándares de la
industria.
Puede determinar la lista de los cifrados soportados en una versión determinada de IBM® HTTP Server
configurándola para que cargue mod_ibm_ssl y ejecutando bin/apachectl -t -f path/to/httpd.conf -DDUMP_SSL_CIPHERS.
La directiva SSLFIPSEnable habilita FIPS (Federal Information Processing Standards). Cuando la directiva SSLFIPSEnable está habilitada, el conjunto de cifrados disponible está restringido, tal como se muestra, y SSLv2 y SSLv3 están inhabilitados.

- Los cifrados que contienen "ECDHE" en el nombre sólo están disponibles en 8.5.0.2/8.0.0.6 y posteriores.
- Los cifrados que contienen "ECDHE" en el nombre deben habilitarse explícitamente y a través de un "nombre largo".
- Los cifrados que contienen "ECDHE_RSA" en el nombre utilizan un certificado RSA estándar y pueden coexistir con cifrados y clientes RSA anteriores.
- Los cifrados que contienen "ECDHE_ECDSA" en el nombre exigen que se cree un certificado o clave ECC (Elliptic Curve Cryptography), con gskcapicmd si se trabaja en una plataforma distribuida o gskkyman si se trabaja en z/OS).
En z/OS, se deben cumplir varios criterios para utilizar cifrados "ECDHE":
- Debe habilitarse TLSv1.2 explícitamente con la directiva SSLProtocolEnable.
- Se requiere z/OS V1R13 con OA39422, o posterior, para utilizar TLSv1.2 en z/OS.
- ICSF debe estar disponible para utilizar cifrados ECC o AES-GCM. Consulte "RACF CSFSERV Resource Requirements" en la publicación z/OS Cryptographic Services System SSL Programming para obtener más información.
Cifrados SSL y TLS
Atención: Observe los siguientes valores de
cifrado SSL y TLS :
- - = cifrado que no es válido para el protocolo
- d = cifrado habilitado de forma predeterminada
- y = cifrado válido pero no habilitado de forma predeterminada
Atención: TLS v1.1 y v1.2 no están disponibles en el sistema operativo
z/OS a menos que se cumplan dos condiciones:
- Se requiere z/OS V1R13 con OA39422, o posterior.
- Debe actualizar la configuración de IBM HTTP Server para especificar SSLProtocolEnable TLSv1.1 TLSv1.2.

Nombre abreviado | Nombre largo | Tamaño de clave (bits) | FIPS | SSLV2 | SSLV3 | TLSv10 | TLSv11 | TLSv12 |
---|---|---|---|---|---|---|---|---|
35 | SSL_RSA_WITH_RC4_128_SHA | 128 | - | - | S | S | S | S |
34 | SSL_RSA_WITH_RC4_128_MD5 | 128 | - | - | S | S | S | - |
9C | TLS_RSA_WITH_AES_128_GCM_SHA256 | 128 | S | - | - | - | - | d |
9D | TLS_RSA_WITH_AES_256_GCM_SHA384 | 256 | S | - | - | - | - | d |
3C | TLS_RSA_WITH_AES_128_CBC_SHA256 | 128 | S | - | - | - | - | d |
3D | TLS_RSA_WITH_AES_256_CBC_SHA256 | 256 | S | - | - | - | - | d |
2F | TLS_RSA_WITH_AES_128_CBC_SHA | 128 | S | - | S | d | d | d |
35b | TLS_RSA_WITH_AES_256_CBC_SHA | 256 | S | - | S | d | d | d |
3A | SSL_RSA_WITH_3DES_EDE_CBC_SHA | 168 | S | - | S | d | d | d |
C007 | TLS_ECDHE_ECDSA_WITH_RC4_128_SHA | 128 | S | - | - | - | - | d* |
C008 | TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA | 168 | S | - | - | - | - | d* |
C009 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | 128 | S | - | - | - | - | d* |
C00A | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | 256 | S | - | - | - | - | d* |
C010 | TLS_ECDHE_RSA_WITH_NULL_SHA | 0 | S | - | - | - | - | d* |
C011 | TLS_ECDHE_RSA_WITH_RC4_128_SHA | 128 | S | - | - | - | - | d* |
C012 | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA | 168 | S | - | - | - | - | d* |
C013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | 128 | S | - | - | - | - | d* |
C014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | 256 | S | - | - | - | - | d* |
C023 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | 128 | S | - | - | - | - | d* |
C024 | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | 256 | S | - | - | - | - | d* |
C027 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | 128 | S | - | - | - | - | d* |
C028 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | 256 | S | - | - | - | - | d* |
C02B | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | 128 | S | - | - | - | - | d* |
C02C | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | 256 | S | - | - | - | - | d* |
C02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | 128 | S | - | - | - | - | d* |
C030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | 256 | S | - | - | - | - | d* |
Atención: * indica que SSLv3 está inhabilitado de forma predeterminada.
Nota: Los cifrados ECDHE están habilitados de forma
predeterminada para TLSv1.2, excepto en
las plataformas z/OS
(marcados con d*).
Cifrados poco seguros, no habilitados de forma predeterminada:
Nombre abreviado | Nombre largo | Tamaño de clave (bits) | FIPS | SSLV2 | SSLV3 | TLSv10 | TLSv11 | TLSv12 |
---|---|---|---|---|---|---|---|---|
39 | SSL_RSA_WITH_DES_CBC_SHA | 56 | - | - | y | y | y | - |
33 | SSL_RSA_EXPORT_WITH_RC4_40_MD5 | 40 | - | - | y | y | - | - |
36 | SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5 | 40 | - | - | y | y | - | - |
62 | TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA | 56 | - | - | y | y | - | - |
64 | TLS_RSA_EXPORT1024_WITH_RC4_56_SHA | 56 | - | - | y | y | - | - |
32 | SSL_RSA_WITH_NULL_SHA | 0 | - | - | y | y | y | y |
31 | SSL_RSA_WITH_NULL_MD5 | 0 | - | - | y | y | y | - |
3B | TLS_RSA_WITH_NULL_SHA256 | 0 | S | - | - | - | - | y |
30 | SSL_NULL_WITH_NULL_NULL | 0 | - | - | y | y | y | y |
27 | SSL_DES_192_EDE3_CBC_WITH_MD5 | 168 | - | y | - | - | - | - |
21 | SSL_RC4_128_WITH_MD5 | 128 | - | y | - | - | - | - |
23 | SSL_RC2_CBC_128_CBC_WITH_MD5 | 128 | - | y | - | - | - | - |
26 | SSL_DES_64_CBC_WITH_MD5 | 56 | - | y | - | - | - | - |
24 | SSL_RC2_CBC_128_CBC_EXPORT40_WITH_MD5 | 40 | - | y | - | - | - | - |
22 | SSL_RC4_128_EXPORT40_WITH_MD5 | 40 | - | y | - | - | - | - |
FE | SSL_RSA_FIPS_WITH_DES_CBC_SHA | 56 | - | - | - | - | - | - |
FF | SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA | 168 | - | - | - | - | - | - |