![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
Spécifications de chiffrement SSL
Lorsqu'une connexion SSL est établie, le client (navigateur Web) et le serveur Web négocient le code de chiffrement à utiliser pour cette connexion. Le serveur Web possède une liste ordonnée de codes de chiffrement. Le premier code de chiffrement de la liste pris en charge par le client est sélectionné.
Introduction
Affichez la liste des chiffrements SSL en cours.
Avertissement : Cette liste de chiffrements peut changer à la suite des mises à jour apportées aux normes de l'industrie. Vous pouvez déterminer la liste des chiffrements pris en charge dans une version particulière d'IBM® HTTP Server en la configurant pour le chargement de mod_ibm_ssl et en exécutant bin/apachectl -t -f path/to/httpd.conf -DDUMP_SSL_CIPHERS.
La directive SSLFIPSEnable active les normes FIPS (Federal Information Processing Standards). Lorsque cette directive est activée, l'ensemble des codes de chiffrement disponibles est limité conformément aux spécifications, et SSLv2 et SSLv3 sont désactivés.

- Les chiffrements dont le nom contient "ECDHE" ne sont disponibles que dans la version 8.5.0.2/8.0.0.6 et les versions ultérieures.
- Les chiffrements dont le nom contient "ECDHE" doivent être activés explicitement via leur "nom long".
- Les chiffrements dont le nom contient "ECDHE_RSA" utilisent un certificat RSA standard et peuvent coexister avec des clients et des chiffrements plus anciens.
- Les chiffrements dont le nom contient "ECDHE_ECDSA" nécessitent de créer un certificat/une clé ECC (Elliptic Curve Cryptography) (avec gskcapicmd si vous utilisez une plateforme répartie ou gskkyman si vous utilisez z/OS).
Sous z/OS, plusieurs critères doivent être remplis pour utiliser des chiffrements "ECDHE" :
- TLSv1.2 doit être explicitement activé à l'aide de l'instruction SSLProtocolEnable.
- z/OS V1R13 avec OA39422, ou une version ultérieure, est requis pour l'utilisation de TLSv1.2 sous z/OS.
- ICSF doit être disponible pour utiliser des chiffrements ECC ou AES-GCM. Pour plus d'informations, voir la rubrique "RACF CSFSERV Resource Requirements" dans le document z/OS Cryptographic Services System SSL Programming.
Chiffrements SSL et TLS
Avertissement : Notez les valeurs de chiffrement SSL et TLS suivantes :
- - = chiffrement non valide pour le protocole
- d = chiffrement activé par défaut
- y = chiffrement valide mais non activé par défaut
Avertissement : TLS
v1.1 et v1.2 ne sont pas disponibles sur le système d'exploitation z/OS, à moins que les deux conditions suivantes existent :
- z/OS V1R13 avec OA39422, ou une version ultérieure, est requis.
- Vous devez mettre à jour la configuration d'IBM HTTP Server pour spécifier SSLProtocolEnable TLSv1.1 TLSv1.2.

Nom abrégé | Nom long | Taille de la clé (bits) | Norme FIPS | SSLV2 | SSLV3 | TLSv10 | TLSv11 | TLSv12 |
---|---|---|---|---|---|---|---|---|
35 | SSL_RSA_WITH_RC4_128_SHA | 128 | - | - | Y | Y | Y | Y |
34 | SSL_RSA_WITH_RC4_128_MD5 | 128 | - | - | Y | Y | Y | - |
9C | TLS_RSA_WITH_AES_128_GCM_SHA256 | 128 | Y | - | - | - | - | d |
9D | TLS_RSA_WITH_AES_256_GCM_SHA384 | 256 | Y | - | - | - | - | d |
3C | TLS_RSA_WITH_AES_128_CBC_SHA256 | 128 | Y | - | - | - | - | d |
3D | TLS_RSA_WITH_AES_256_CBC_SHA256 | 256 | Y | - | - | - | - | d |
2F | TLS_RSA_WITH_AES_128_CBC_SHA | 128 | Y | - | Y | d | d | d |
35b | TLS_RSA_WITH_AES_256_CBC_SHA | 256 | Y | - | Y | d | d | d |
3A | SSL_RSA_WITH_3DES_EDE_CBC_SHA | 168 | Y | - | Y | d | d | d |
C007 | TLS_ECDHE_ECDSA_WITH_RC4_128_SHA | 128 | Y | - | - | - | - | d* |
C008 | TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA | 168 | Y | - | - | - | - | d* |
C009 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | 128 | Y | - | - | - | - | d* |
C00A | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | 256 | Y | - | - | - | - | d* |
C010 | TLS_ECDHE_RSA_WITH_NULL_SHA | 0 | Y | - | - | - | - | d* |
C011 | TLS_ECDHE_RSA_WITH_RC4_128_SHA | 128 | Y | - | - | - | - | d* |
C012 | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA | 168 | Y | - | - | - | - | d* |
C013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | 128 | Y | - | - | - | - | d* |
C014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | 256 | Y | - | - | - | - | d* |
C023 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | 128 | Y | - | - | - | - | d* |
C024 | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | 256 | Y | - | - | - | - | d* |
C027 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | 128 | Y | - | - | - | - | d* |
C028 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | 256 | Y | - | - | - | - | d* |
C02B | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | 128 | Y | - | - | - | - | d* |
C02C | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | 256 | Y | - | - | - | - | d* |
C02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | 128 | Y | - | - | - | - | d* |
C030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | 256 | Y | - | - | - | - | d* |
Avertissement : * indique que SSLv3 est désactivé par défaut.
Remarque : Les chiffrements ECDHE sont activés par défaut pour TLSv1.2, à l'exception des plateformes z/OS (signalées par d*).
Chiffrements plus faibles, non activés par défaut :
Nom abrégé | Nom long | Taille de la clé (bits) | Norme FIPS | SSLV2 | SSLV3 | TLSv10 | TLSv11 | TLSv12 |
---|---|---|---|---|---|---|---|---|
39 | SSL_RSA_WITH_DES_CBC_SHA | 56 | - | - | y | y | y | - |
33 | SSL_RSA_EXPORT_WITH_RC4_40_MD5 | 40 | - | - | y | y | - | - |
36 | SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5 | 40 | - | - | y | y | - | - |
62 | TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA | 56 | - | - | y | y | - | - |
64 | TLS_RSA_EXPORT1024_WITH_RC4_56_SHA | 56 | - | - | y | y | - | - |
32 | SSL_RSA_WITH_NULL_SHA | 0 | - | - | y | y | y | y |
31 | SSL_RSA_WITH_NULL_MD5 | 0 | - | - | y | y | y | - |
3B | TLS_RSA_WITH_NULL_SHA256 | 0 | Y | - | - | - | - | y |
30 | SSL_NULL_WITH_NULL_NULL | 0 | - | - | y | y | y | y |
27 | SSL_DES_192_EDE3_CBC_WITH_MD5 | 168 | - | y | - | - | - | - |
21 | SSL_RC4_128_WITH_MD5 | 128 | - | y | - | - | - | - |
23 | SSL_RC2_CBC_128_CBC_WITH_MD5 | 128 | - | y | - | - | - | - |
26 | SSL_DES_64_CBC_WITH_MD5 | 56 | - | y | - | - | - | - |
24 | SSL_RC2_CBC_128_CBC_EXPORT40_WITH_MD5 | 40 | - | y | - | - | - | - |
22 | SSL_RC4_128_EXPORT40_WITH_MD5 | 40 | - | y | - | - | - | - |
FE | SSL_RSA_FIPS_WITH_DES_CBC_SHA | 56 | - | - | - | - | - | - |
FF | SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA | 168 | - | - | - | - | - | - |