[AIX Solaris HP-UX Linux Windows][z/OS]

Especificaciones de cifrado SSL

Cuando se establece una conexión SSL, el cliente (navegador web) y el servidor web negocian el cifrado a utilizar para la conexión. El servidor web tiene una lista ordenada de cifrados y se selecciona el primer cifrado de la lista soportado por el cliente.

Introducción

Vea la lista de cifrados SSL actuales.
Atención: Esta lista de cifrados podría cambiar debido a actualizaciones de estándares de la industria. Puede determinar la lista de los cifrados soportados en una versión determinada de IBM® HTTP Server configurándola para que cargue mod_ibm_ssl y ejecutando bin/apachectl -t -f path/to/httpd.conf -DDUMP_SSL_CIPHERS.

La directiva SSLFIPSEnable habilita FIPS (Federal Information Processing Standards). Cuando la directiva SSLFIPSEnable está habilitada, el conjunto de cifrados disponible está restringido, tal como se muestra, y SSLv2 y SSLv3 están inhabilitados.

Avoid trouble Avoid trouble:
  • Los cifrados que contienen "ECDHE" en el nombre sólo están disponibles en 8.5.0.2/8.0.0.6 y posteriores.
  • Los cifrados que contienen "ECDHE" en el nombre deben habilitarse explícitamente y a través de un "nombre largo".
  • Los cifrados que contienen "ECDHE_RSA" en el nombre utilizan un certificado RSA estándar y pueden coexistir con cifrados y clientes RSA anteriores.
  • Los cifrados que contienen "ECDHE_ECDSA" en el nombre exigen que se cree un certificado o clave ECC (Elliptic Curve Cryptography), con gskcapicmd si se trabaja en una plataforma distribuida o gskkyman si se trabaja en z/OS).
  • [z/OS]En z/OS, se deben cumplir varios criterios para utilizar cifrados "ECDHE":
    • Debe habilitarse TLSv1.2 explícitamente con la directiva SSLProtocolEnable.
    • Se requiere z/OS V1R13 con OA39422, o posterior, para utilizar TLSv1.2 en z/OS.
    • ICSF debe estar disponible para utilizar cifrados ECC o AES-GCM. Consulte "RACF CSFSERV Resource Requirements" en la publicación z/OS Cryptographic Services System SSL Programming para obtener más información.
gotcha

Cifrados SSL y TLS

Atención: Observe los siguientes valores de cifrado SSL y TLS :
  • - = cifrado que no es válido para el protocolo
  • d = cifrado habilitado de forma predeterminada
  • y = cifrado válido pero no habilitado de forma predeterminada
Atención: TLS v1.1 y v1.2 no están disponibles en el sistema operativo z/OS a menos que se cumplan dos condiciones:
  • Se requiere z/OS V1R13 con OA39422, o posterior.
  • Debe actualizar la configuración de IBM HTTP Server para especificar SSLProtocolEnable TLSv1.1 TLSv1.2.
For transitioning users For transitioning users: Para mejorar la seguridad, IBM HTTP Server Versión 8.0 inhabilita, de forma predeterminada, los cifrados SSL poco seguros, los cifrados SSL de exportación y el protocolo SSL Versión 2 . SSL Versión 2, los cifrados poco seguros y los cifrados de exportación normalmente no son adecuados para las cargas de trabajo SSL de producción en Internet y son marcados por los escáneres de seguridad. Para habilitar cifrados, utilice la directiva SSLCipherSpec. trns
Tabla 1. Cifrados TLS de media y alta potencia
Nombre abreviado Nombre largo Tamaño de clave (bits) FIPS SSLV2 SSLV3 TLSv10 TLSv11 TLSv12
35 SSL_RSA_WITH_RC4_128_SHA 128 - - S S S S
34 SSL_RSA_WITH_RC4_128_MD5 128 - - S S S -
9C TLS_RSA_WITH_AES_128_GCM_SHA256 128 S - - - - d
9D TLS_RSA_WITH_AES_256_GCM_SHA384 256 S - - - - d
3C TLS_RSA_WITH_AES_128_CBC_SHA256 128 S - - - - d
3D TLS_RSA_WITH_AES_256_CBC_SHA256 256 S - - - - d
2F TLS_RSA_WITH_AES_128_CBC_SHA 128 S - S d d d
35b TLS_RSA_WITH_AES_256_CBC_SHA 256 S - S d d d
3A SSL_RSA_WITH_3DES_EDE_CBC_SHA 168 S - S d d d
C007 TLS_ECDHE_ECDSA_WITH_RC4_128_SHA 128 S - - - - d*
C008 TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA 168 S - - - - d*
C009 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA 128 S - - - - d*
C00A TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA 256 S - - - - d*
C010 TLS_ECDHE_RSA_WITH_NULL_SHA 0 S - - - - d*
C011 TLS_ECDHE_RSA_WITH_RC4_128_SHA 128 S - - - - d*
C012 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA 168 S - - - - d*
C013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 128 S - - - - d*
C014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA 256 S - - - - d*
C023 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 128 S - - - - d*
C024 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 256 S - - - - d*
C027 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 128 S - - - - d*
C028 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 256 S - - - - d*
C02B TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 128 S - - - - d*
C02C TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 256 S - - - - d*
C02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 128 S - - - - d*
C030 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 256 S - - - - d*
Atención: * indica que SSLv3 está inhabilitado de forma predeterminada.
Nota: Los cifrados ECDHE están habilitados de forma predeterminada para TLSv1.2, excepto en las plataformas z/OS (marcados con d*).

Cifrados poco seguros, no habilitados de forma predeterminada:

Tabla 2. Otros cifrados TLS
Nombre abreviado Nombre largo Tamaño de clave (bits) FIPS SSLV2 SSLV3 TLSv10 TLSv11 TLSv12
39 SSL_RSA_WITH_DES_CBC_SHA 56 - - y y y -
33 SSL_RSA_EXPORT_WITH_RC4_40_MD5 40 - - y y - -
36 SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5 40 - - y y - -
62 TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA 56 - - y y - -
64 TLS_RSA_EXPORT1024_WITH_RC4_56_SHA 56 - - y y - -
32 SSL_RSA_WITH_NULL_SHA 0 - - y y y y
31 SSL_RSA_WITH_NULL_MD5 0 - - y y y -
3B TLS_RSA_WITH_NULL_SHA256 0 S - - - - y
30 SSL_NULL_WITH_NULL_NULL 0 - - y y y y
27 SSL_DES_192_EDE3_CBC_WITH_MD5 168 - y - - - -
21 SSL_RC4_128_WITH_MD5 128 - y - - - -
23 SSL_RC2_CBC_128_CBC_WITH_MD5 128 - y - - - -
26 SSL_DES_64_CBC_WITH_MD5 56 - y - - - -
24 SSL_RC2_CBC_128_CBC_EXPORT40_WITH_MD5 40 - y - - - -
22 SSL_RC4_128_EXPORT40_WITH_MD5 40 - y - - - -
FE SSL_RSA_FIPS_WITH_DES_CBC_SHA 56 - - - - - -
FF SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA 168 - - - - - -

Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=rihs_ciphspec
File name: rihs_ciphspec.html