[AIX Solaris HP-UX Linux Windows][z/OS]

Spécifications de chiffrement SSL

Lorsqu'une connexion SSL est établie, le client (navigateur Web) et le serveur Web négocient le code de chiffrement à utiliser pour cette connexion. Le serveur Web possède une liste ordonnée de codes de chiffrement. Le premier code de chiffrement de la liste pris en charge par le client est sélectionné.

Introduction

Affichez la liste des chiffrements SSL en cours.
Avertissement : Cette liste de chiffrements peut changer à la suite des mises à jour apportées aux normes de l'industrie. Vous pouvez déterminer la liste des chiffrements pris en charge dans une version particulière d'IBM® HTTP Server en la configurant pour le chargement de mod_ibm_ssl et en exécutant bin/apachectl -t -f path/to/httpd.conf -DDUMP_SSL_CIPHERS.

La directive SSLFIPSEnable active les normes FIPS (Federal Information Processing Standards). Lorsque cette directive est activée, l'ensemble des codes de chiffrement disponibles est limité conformément aux spécifications, et SSLv2 et SSLv3 sont désactivés.

Eviter les incidents Eviter les incidents:
  • Les chiffrements dont le nom contient "ECDHE" ne sont disponibles que dans la version 8.5.0.2/8.0.0.6 et les versions ultérieures.
  • Les chiffrements dont le nom contient "ECDHE" doivent être activés explicitement via leur "nom long".
  • Les chiffrements dont le nom contient "ECDHE_RSA" utilisent un certificat RSA standard et peuvent coexister avec des clients et des chiffrements plus anciens.
  • Les chiffrements dont le nom contient "ECDHE_ECDSA" nécessitent de créer un certificat/une clé ECC (Elliptic Curve Cryptography) (avec gskcapicmd si vous utilisez une plateforme répartie ou gskkyman si vous utilisez z/OS).
  • [z/OS]Sous z/OS, plusieurs critères doivent être remplis pour utiliser des chiffrements "ECDHE" :
    • TLSv1.2 doit être explicitement activé à l'aide de l'instruction SSLProtocolEnable.
    • z/OS V1R13 avec OA39422, ou une version ultérieure, est requis pour l'utilisation de TLSv1.2 sous z/OS.
    • ICSF doit être disponible pour utiliser des chiffrements ECC ou AES-GCM. Pour plus d'informations, voir la rubrique "RACF CSFSERV Resource Requirements" dans le document z/OS Cryptographic Services System SSL Programming.
gotcha

Chiffrements SSL et TLS

Avertissement : Notez les valeurs de chiffrement SSL et TLS suivantes :
  • - = chiffrement non valide pour le protocole
  • d = chiffrement activé par défaut
  • y = chiffrement valide mais non activé par défaut
Avertissement : TLS v1.1 et v1.2 ne sont pas disponibles sur le système d'exploitation z/OS, à moins que les deux conditions suivantes existent :
  • z/OS V1R13 avec OA39422, ou une version ultérieure, est requis.
  • Vous devez mettre à jour la configuration d'IBM HTTP Server pour spécifier SSLProtocolEnable TLSv1.1 TLSv1.2.
Pour les utilisateurs en transition Pour les utilisateurs en transition: Pour améliorer la sécurité, IBM HTTP Server version 8.0 désactive les chiffrements SSL faibles, les chiffrements SSL d'exportation et le protocole SSL version 2 par défaut. Les chiffrements faibles et les chiffrements d'exportation SSL Version 2 ne sont généralement pas adaptés aux charges de travail SSL de production sur Internet et ils sont marqués par des outils Security Scanner. Pour activer les chiffrements, utilisez la directive SSLCipherSpec. trns
Tableau 1. Chiffrements TLS moyen et fort
Nom abrégé Nom long Taille de la clé (bits) Norme FIPS SSLV2 SSLV3 TLSv10 TLSv11 TLSv12
35 SSL_RSA_WITH_RC4_128_SHA 128 - - Y Y Y Y
34 SSL_RSA_WITH_RC4_128_MD5 128 - - Y Y Y -
9C TLS_RSA_WITH_AES_128_GCM_SHA256 128 Y - - - - d
9D TLS_RSA_WITH_AES_256_GCM_SHA384 256 Y - - - - d
3C TLS_RSA_WITH_AES_128_CBC_SHA256 128 Y - - - - d
3D TLS_RSA_WITH_AES_256_CBC_SHA256 256 Y - - - - d
2F TLS_RSA_WITH_AES_128_CBC_SHA 128 Y - Y d d d
35b TLS_RSA_WITH_AES_256_CBC_SHA 256 Y - Y d d d
3A SSL_RSA_WITH_3DES_EDE_CBC_SHA 168 Y - Y d d d
C007 TLS_ECDHE_ECDSA_WITH_RC4_128_SHA 128 Y - - - - d*
C008 TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA 168 Y - - - - d*
C009 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA 128 Y - - - - d*
C00A TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA 256 Y - - - - d*
C010 TLS_ECDHE_RSA_WITH_NULL_SHA 0 Y - - - - d*
C011 TLS_ECDHE_RSA_WITH_RC4_128_SHA 128 Y - - - - d*
C012 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA 168 Y - - - - d*
C013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 128 Y - - - - d*
C014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA 256 Y - - - - d*
C023 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 128 Y - - - - d*
C024 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 256 Y - - - - d*
C027 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 128 Y - - - - d*
C028 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 256 Y - - - - d*
C02B TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 128 Y - - - - d*
C02C TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 256 Y - - - - d*
C02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 128 Y - - - - d*
C030 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 256 Y - - - - d*
Avertissement : * indique que SSLv3 est désactivé par défaut.
Remarque : Les chiffrements ECDHE sont activés par défaut pour TLSv1.2, à l'exception des plateformes z/OS (signalées par d*).

Chiffrements plus faibles, non activés par défaut :

Tableau 2. Autres chiffrements TLS
Nom abrégé Nom long Taille de la clé (bits) Norme FIPS SSLV2 SSLV3 TLSv10 TLSv11 TLSv12
39 SSL_RSA_WITH_DES_CBC_SHA 56 - - y y y -
33 SSL_RSA_EXPORT_WITH_RC4_40_MD5 40 - - y y - -
36 SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5 40 - - y y - -
62 TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA 56 - - y y - -
64 TLS_RSA_EXPORT1024_WITH_RC4_56_SHA 56 - - y y - -
32 SSL_RSA_WITH_NULL_SHA 0 - - y y y y
31 SSL_RSA_WITH_NULL_MD5 0 - - y y y -
3B TLS_RSA_WITH_NULL_SHA256 0 Y - - - - y
30 SSL_NULL_WITH_NULL_NULL 0 - - y y y y
27 SSL_DES_192_EDE3_CBC_WITH_MD5 168 - y - - - -
21 SSL_RC4_128_WITH_MD5 128 - y - - - -
23 SSL_RC2_CBC_128_CBC_WITH_MD5 128 - y - - - -
26 SSL_DES_64_CBC_WITH_MD5 56 - y - - - -
24 SSL_RC2_CBC_128_CBC_EXPORT40_WITH_MD5 40 - y - - - -
22 SSL_RC4_128_EXPORT40_WITH_MD5 40 - y - - - -
FE SSL_RSA_FIPS_WITH_DES_CBC_SHA 56 - - - - - -
FF SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA 168 - - - - - -

Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=rihs_ciphspec
Nom du fichier : rihs_ciphspec.html