[AIX Solaris HP-UX Linux Windows][z/OS]

SSL 密码规范

建立 SSL 连接时,客户机(Web 浏览器)和 Web 服务器将协商要用于连接的密码。Web 服务器有一个有序密码列表,此列表中受客户机支持的第一个密码将处于选中状态。

简介

请查看最新 SSL 密码的列表。
注意: 此密码列表可能会因为行业标准更新而变化。通过配置特定版本的 IBM® HTTP Server 以装入 mod_ibm_ssl 并运行 bin/apachectl -t -f path/to/httpd.conf -DDUMP_SSL_CIPHERS,可确定该版本中支持的密码列表。

SSLFIPSEnable 伪指令启用联邦信息处理标准 (FIPS)。如果启用了 SSLFIPSEnable 伪指令,那么可用密码集会如下所示受到限制,并且 SSLv2 和 SSLv3 被禁用。

避免故障 避免故障:
  • 名称中包含“ECDHE”的密码仅在 8.5.0.2/8.0.0.6 和更高版本中可用。
  • 名称中包含“ECDHE”的密码必须显式启用,并且应通过其“长名称”启用。
  • 名称中包含“ECDHE_RSA”的密码使用标准 RSA 证书,并可与旧的 RSA 密码和客户机共存。
  • 名称中包含“ECDHE_ECDSA”的密码要求创建 ECC(椭圆曲线加密)证书/密钥(如果您正在分布式平台上运行,那么使用 gskcapicmd 来创建;如果正在 z/OS® 上运行,那么使用 gskkyman 来创建)。
  • [z/OS]在 z/OS 上,必须满足若干条件才能使用“ECDHE”密码:
    • 必须使用 SSLProtocolEnable 伪指令显式启用 TLSv1.2。
    • 在 z/OS 上使用 TLSv1.2 时,需要带有 OA39422 的 z/OS V1.13 或更高版本。
    • 要使用 ECC 或 AES-GCM 密码,ICSF 必须可用。有关更多信息,请参阅《z/OS 加密服务系统 SSL 编程》中的“RACF® CSFSERV 资源需求”。
gotcha

SSL 和 TLS 密码

注意: 请注意以下 SSL 和 TLS 密码值:
  • - = 对协议无效的密码
  • d = 缺省情况下启用的密码
  • y = 密码有效但在缺省情况下未启用
注意: 除非满足以下两个条件,否则 TLS V1.1 和 V1.2 在 z/OS 操作系统上不可用:
  • 需要带有 OA39422 的 z/OS V1.13 或更高版本。
  • 必须更新 IBM HTTP Server 配置以指定 SSLProtocolEnable TLSv1.1 TLSv1.2
对于转换用户 对于转换用户: 为了提高安全性,IBM HTTP Server V8.0 在缺省情况下禁用弱 SSL 密码、导出 SSL 密码和 SSL V2 协议。SSL V2、弱密码和导出密码通常不适用于互联网上的生产 SSL 工作负载,并且已由安全扫描程序进行标记。要启用密码,请使用 SSLCipherSpec 伪指令。trns
表 1. 中等强度和高强度 TLS 密码
短名称 长名称 密钥大小(位数) FIPS SSLV2 SSLV3 TLSv10 TLSv11 TLSv12
35 SSL_RSA_WITH_RC4_128_SHA 128 - - Y Y Y Y
34 SSL_RSA_WITH_RC4_128_MD5 128 - - Y Y Y -
9C TLS_RSA_WITH_AES_128_GCM_SHA256 128 Y - - - - d
9D TLS_RSA_WITH_AES_256_GCM_SHA384 256 Y - - - - d
3C TLS_RSA_WITH_AES_128_CBC_SHA256 128 Y - - - - d
3D TLS_RSA_WITH_AES_256_CBC_SHA256 256 Y - - - - d
2F TLS_RSA_WITH_AES_128_CBC_SHA 128 Y - Y d d d
35b TLS_RSA_WITH_AES_256_CBC_SHA 256 Y - Y d d d
3A SSL_RSA_WITH_3DES_EDE_CBC_SHA 168 Y - Y d d d
C007 TLS_ECDHE_ECDSA_WITH_RC4_128_SHA 128 Y - - - - d*
C008 TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA 168 Y - - - - d*
C009 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA 128 Y - - - - d*
C00A TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA 256 Y - - - - d*
C010 TLS_ECDHE_RSA_WITH_NULL_SHA 0 Y - - - - d*
C011 TLS_ECDHE_RSA_WITH_RC4_128_SHA 128 Y - - - - d*
C012 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA 168 Y - - - - d*
C013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 128 Y - - - - d*
C014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA 256 Y - - - - d*
C023 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 128 Y - - - - d*
C024 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 256 Y - - - - d*
C027 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 128 Y - - - - d*
C028 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 256 Y - - - - d*
C02B TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 128 Y - - - - d*
C02C TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 256 Y - - - - d*
C02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 128 Y - - - - d*
C030 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 256 Y - - - - d*
注意: * 指示缺省情况下已禁用 SSLv3。
注: 在 z/OS 平台上除外,缺省情况下,已对 TLSv1.2 启用 ECDHE 密码(用 d* 来表示)。

弱密码,缺省情况下未启用:

表 2. 其他 TLS 密码
短名称 长名称 密钥大小(位数) FIPS SSLV2 SSLV3 TLSv10 TLSv11 TLSv12
39 SSL_RSA_WITH_DES_CBC_SHA 56 - - y y y -
33 SSL_RSA_EXPORT_WITH_RC4_40_MD5 40 - - y y - -
36 SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5 40 - - y y - -
62 TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA 56 - - y y - -
64 TLS_RSA_EXPORT1024_WITH_RC4_56_SHA 56 - - y y - -
32 SSL_RSA_WITH_NULL_SHA 0 - - y y y y
31 SSL_RSA_WITH_NULL_MD5 0 - - y y y -
3B TLS_RSA_WITH_NULL_SHA256 0 Y - - - - y
30 SSL_NULL_WITH_NULL_NULL 0 - - y y y y
27 SSL_DES_192_EDE3_CBC_WITH_MD5 168 - y - - - -
21 SSL_RC4_128_WITH_MD5 128 - y - - - -
23 SSL_RC2_CBC_128_CBC_WITH_MD5 128 - y - - - -
26 SSL_DES_64_CBC_WITH_MD5 56 - y - - - -
24 SSL_RC2_CBC_128_CBC_EXPORT40_WITH_MD5 40 - y - - - -
22 SSL_RC4_128_EXPORT40_WITH_MD5 40 - y - - - -
FE SSL_RSA_FIPS_WITH_DES_CBC_SHA 56 - - - - - -
FF SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA 168 - - - - - -

指示主题类型的图标 参考主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=rihs_ciphspec
文件名:rihs_ciphspec.html