[AIX Solaris HP-UX Linux Windows][z/OS]

SSL 密碼規格

建立 SSL 連線之後,用戶端(Web 瀏覽器)和 Web 伺服器就會協議要用於連線的密碼。Web 伺服器有密碼的排序清單,並且會選取清單中受用戶端支援的第一個密碼。

簡介

檢視 SSL 密碼的現行清單。
小心: 密碼清單可能會因為更新為業界標準而有所變更。如果要判定 IBM® HTTP Server 特定版本中支援的密碼清單,您可以將其配置來載入 mod_ibm_ssl,並執行 bin/apachectl -t -f path/to/httpd.conf -DDUMP_SSL_CIPHERS

SSLFIPSEnable 指引可啟用「美國聯邦資訊處理標準 (FIPS)」。當 SSLFIPSEnable 指引啟用時,會限制可用的密碼組(如下所示),並且會停用 SSLv2 和 SSLv3。

避免困難 避免困難:
  • 名稱中包含 "ECDHE" 的密碼僅適用於 8.5.0.2/8.0.0.6 和更新版本。
  • 名稱中包含 "ECDHE" 的密碼必須明確地啟用,並應透過其完整名稱來啟用。
  • 名稱中包含 "ECDHE_RSA" 的密碼使用標準 RSA 憑證,並且可與較舊的 RSA 密碼和用戶端同時存在。
  • 名稱中包含 "ECDHE_ECDSA" 的密碼需要建立 ECC(橢圓曲線加密法)憑證/金鑰(如果您是在分散式平台上執行,則使用 gskcapicmd,如果您是在 z/OS® 上執行,則使用 gskkyman)。
  • [z/OS]在 z/OS 上,必須符合數項準則,才能使用 "ECDHE" 密碼:
    • 必須使用 SSLProtocolEnable 指引,以明確啟用 TLSv1.2。
    • 需要 z/OS V1R13(含 OA39422)或更新版本,才能在 z/OS 上使用 TLSv1.2。
    • 必須有 ICSF 可用,才能使用 ECC 或 AES-GCM 密碼。如需相關資訊,請參閱 z/OS 加密服務系統 SSL 程式設計中的「RACF® CSFSERV 資源需求」。
gotcha

SSL 和 TLS 密碼

小心: 請注意下列 SSL 和 TLS 密碼值:
  • - = 對通訊協定無效的密碼
  • d = 預設會啟用密碼
  • y = 密碼有效,但預設不啟用
小心: 除非符合下列兩個條件,否則無法在 z/OS 作業系統上使用 TLS 1.1 和 1.2 版:
  • 需要 z/OS V1R13(含 OA39422)或更新版本。
  • 您必須更新 IBM HTTP Server 配置來指定 SSLProtocolEnable TLSv1.1 TLSv1.2
適用於轉換使用者 適用於轉換使用者: 為提升安全性,IBM HTTP Server 8.0 版預設停用 SSL 低強度密碼、SSL 匯出密碼,以及 SSL 第 2 版通訊協定。SSL 第 2 版、低強度密碼和匯出密碼通常不適合用於網際網路上的正式作業 SSL 工作量,並且會被安全掃描器標示旗標。如果要啟用密碼,請使用 SSLCipherSpec 指引。trns
表 1. 中高強度的 TLS 密碼
簡稱 完整名稱 金鑰大小(位元) FIPS SSLV2 SSLV3 TLSv10 TLSv11 TLSv12
35 SSL_RSA_WITH_RC4_128_SHA 128 - - Y Y Y Y
34 SSL_RSA_WITH_RC4_128_MD5 128 - - Y Y Y -
9C TLS_RSA_WITH_AES_128_GCM_SHA256 128 Y - - - - d
9D TLS_RSA_WITH_AES_256_GCM_SHA384 256 Y - - - - d
3C TLS_RSA_WITH_AES_128_CBC_SHA256 128 Y - - - - d
3D TLS_RSA_WITH_AES_256_CBC_SHA256 256 Y - - - - d
2F TLS_RSA_WITH_AES_128_CBC_SHA 128 Y - Y d d d
35b TLS_RSA_WITH_AES_256_CBC_SHA 256 Y - Y d d d
3A SSL_RSA_WITH_3DES_EDE_CBC_SHA 168 Y - Y d d d
C007 TLS_ECDHE_ECDSA_WITH_RC4_128_SHA 128 Y - - - - d*
C008 TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA 168 Y - - - - d*
C009 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA 128 Y - - - - d*
C00A TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA 256 Y - - - - d*
C010 TLS_ECDHE_RSA_WITH_NULL_SHA 0 Y - - - - d*
C011 TLS_ECDHE_RSA_WITH_RC4_128_SHA 128 Y - - - - d*
C012 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA 168 Y - - - - d*
C013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 128 Y - - - - d*
C014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA 256 Y - - - - d*
C023 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 128 Y - - - - d*
C024 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 256 Y - - - - d*
C027 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 128 Y - - - - d*
C028 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 256 Y - - - - d*
C02B TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 128 Y - - - - d*
C02C TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 256 Y - - - - d*
C02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 128 Y - - - - d*
C030 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 256 Y - - - - d*
小心: * 指出依預設停用 SSLv3。
註: 依預設會為 TLSv1.2 啟用 ECDHE 密碼,但在 z/OS 平台上除外(以 d* 表示)。

較低強度的密碼,預設不啟用:

表 2. 其他 TLS 密碼
簡稱 完整名稱 金鑰大小(位元) FIPS SSLV2 SSLV3 TLSv10 TLSv11 TLSv12
39 SSL_RSA_WITH_DES_CBC_SHA 56 - - y y y -
33 SSL_RSA_EXPORT_WITH_RC4_40_MD5 40 - - y y - -
36 SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5 40 - - y y - -
62 TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA 56 - - y y - -
64 TLS_RSA_EXPORT1024_WITH_RC4_56_SHA 56 - - y y - -
32 SSL_RSA_WITH_NULL_SHA 0 - - y y y y
31 SSL_RSA_WITH_NULL_MD5 0 - - y y y -
3B TLS_RSA_WITH_NULL_SHA256 0 Y - - - - y
30 SSL_NULL_WITH_NULL_NULL 0 - - y y y y
27 SSL_DES_192_EDE3_CBC_WITH_MD5 168 - y - - - -
21 SSL_RC4_128_WITH_MD5 128 - y - - - -
23 SSL_RC2_CBC_128_CBC_WITH_MD5 128 - y - - - -
26 SSL_DES_64_CBC_WITH_MD5 56 - y - - - -
24 SSL_RC2_CBC_128_CBC_EXPORT40_WITH_MD5 40 - y - - - -
22 SSL_RC4_128_EXPORT40_WITH_MD5 40 - y - - - -
FE SSL_RSA_FIPS_WITH_DES_CBC_SHA 56 - - - - - -
FF SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA 168 - - - - - -

指出主題類型的圖示 參照主題



時間戳記圖示 前次更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=rihs_ciphspec
檔名:rihs_ciphspec.html