[AIX Solaris HP-UX Linux Windows][z/OS]

Especificações de Cifras SSL

Quando uma conexão SSL é estabelecida, o cliente (navegador da Web) e o servidor da Web negociam o código a utilizar para a conexão. O servidor da Web tem uma lista ordenada de códigos e o primeiro código na lista que é suportado pelo cliente é selecionado.

Introdução

Visualize a lista de códigos de SSL atuais.
Atenção: Esta lista de códigos poderá ser alterada como resultado das atualizações nos Padrões de mercado. É possível determinar a lista de cifras suportadas em uma determinada versão do IBM® HTTP Server configurando-a para carregar mod_ibm_ssl e executando bin/apachectl -t -f path/to/httpd.conf -DDUMP_SSL_CIPHERS.

A diretiva SSLFIPSEnable ativa o FIPS (Federal Information Processing Standards). Quando a diretiva SSLFIPSEnable é ativada, o conjunto de códigos disponíveis é restringido conforme mostrado e SSLv2 e SSLv3 são desativados.

Evitar Problemas Evitar Problemas:
  • As cifras que contêm "ECDHE" no nome apenas estão disponíveis no 8.5.0.2/8.0.0.6 e posterior.
  • As cifras que contêm "ECDHE" no nome devem ser ativadas explicitamente e devem ser ativadas pelo "nome longo".
  • Cifras que contêm "ECDHE_RSA" em seu nome usam um certificado RSA padrão e podem coexistir com cifras RSA e clientes mais antigos.
  • As cifras que contêm "ECDHE_ECDSA" no nome requerem que um certificado/chave ECC (Elliptic Curve Cryptography) seja criado (com gskcapicmd se você estiver executando em uma plataforma distribuída ou gskkyman se você estiver executando no z/OS).
  • [z/OS]No z/OS, vários critérios devem ser atendidos para usar cifras "ECDHE":
    • O TLSv1.2 deve ser ativado explicitamente usando a diretiva SSLProtocolEnable.
    • z/OS V1R13 com OA39422, ou posterior, é necessário para usar TLSv1.2 no z/OS.
    • O ICSF deve estar disponível para usar o ECC ou as cifras AES-GCM. Consulte "RACF CSFSERV Resource Requirements" in the z/OS Cryptographic Services System SSL Programming para obter mais informações.
gotcha

Códigos SSL e TLS

Atenção: Observe os valores de código SSL e TLS a seguir:
  • - = código que não é válido para o protocolo
  • d = código é ativado por padrão
  • y = código é válido mas não ativado por padrão
Atenção: TLS v1.1 e v1.2 não estão disponíveis no sistema operacional z/OS, a menos que duas condições sejam atendidas:
  • z/OS V1R13 com OA39422, ou posterior, é necessário.
  • Deve-se atualizar a configuração do IBM HTTP Server para especificar SSLProtocolEnable TLSv1.1 TLSv1.2.
Para Usuários de Transição Para Usuários de Transição: Para melhorar a segurança, o IBM HTTP Server Versão 8.0 desativa cifras SSL fracas, exporta cifras SSL e o protocolo SSL Versão 2 por padrão. SSL Versão 2, códigos fracos e códigos de exportação geralmente são inadequados para cargas de trabalho de SSL de produção na internet e são sinalizados por scanners de segurança. Para ativar códigos, use a diretiva SSLCipherSpec. trns
Tabela 1. Cifras TLS de força média e alta
Nome Abreviado Nome Longo Tamanho da chave (bits) FIPS SSLV2 SSLV3 TLSv10 TLSv11 TLSv12
35 SSL_RSA_WITH_RC4_128_SHA 128 - - I I I I
34 SSL_RSA_WITH_RC4_128_MD5 128 - - I I I -
9C TLS_RSA_WITH_AES_128_GCM_SHA256 128 I - - - - d
9D TLS_RSA_WITH_AES_256_GCM_SHA384 256 I - - - - d
3C TLS_RSA_WITH_AES_128_CBC_SHA256 128 I - - - - d
3D TLS_RSA_WITH_AES_256_CBC_SHA256 256 I - - - - d
2F TLS_RSA_WITH_AES_128_CBC_SHA 128 I - I d d d
35b TLS_RSA_WITH_AES_256_CBC_SHA 256 I - I d d d
3A SSL_RSA_WITH_3DES_EDE_CBC_SHA 168 I - I d d d
C007 TLS_ECDHE_ECDSA_WITH_RC4_128_SHA 128 I - - - - d*
C008 TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA 168 I - - - - d*
C009 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA 128 I - - - - d*
C00A TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA 256 I - - - - d*
C010 TLS_ECDHE_RSA_WITH_NULL_SHA 0 I - - - - d*
C011 TLS_ECDHE_RSA_WITH_RC4_128_SHA 128 I - - - - d*
C012 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA 168 I - - - - d*
C013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 128 I - - - - d*
C014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA 256 I - - - - d*
C023 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 128 I - - - - d*
C024 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 256 I - - - - d*
C027 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 128 I - - - - d*
C028 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 256 I - - - - d*
C02B TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 128 I - - - - d*
C02C TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 256 I - - - - d*
C02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 128 I - - - - d*
C030 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 256 I - - - - d*
Atenção: * indica que o SSLv3 fica desativado por padrão.
Nota: Cifras ECDHE são ativadas por padrão para TLSv1.2, exceto em plataformas z/OS (denotada com d*).

Códigos fracos, não ativados por padrão:

Tabela 2. Outras cifras TLS
Nome Abreviado Nome Longo Tamanho da chave (bits) FIPS SSLV2 SSLV3 TLSv10 TLSv11 TLSv12
39 SSL_RSA_WITH_DES_CBC_SHA 56 - - y y y -
33 SSL_RSA_EXPORT_WITH_RC4_40_MD5 40 - - y y - -
36 SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5 40 - - y y - -
62 TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA 56 - - y y - -
64 TLS_RSA_EXPORT1024_WITH_RC4_56_SHA 56 - - y y - -
32 SSL_RSA_WITH_NULL_SHA 0 - - y y y y
31 SSL_RSA_WITH_NULL_MD5 0 - - y y y -
3B TLS_RSA_WITH_NULL_SHA256 0 I - - - - y
30 SSL_NULL_WITH_NULL_NULL 0 - - y y y y
27 SSL_DES_192_EDE3_CBC_WITH_MD5 168 - y - - - -
21 SSL_RC4_128_WITH_MD5 128 - y - - - -
23 SSL_RC2_CBC_128_CBC_WITH_MD5 128 - y - - - -
26 SSL_DES_64_CBC_WITH_MD5 56 - y - - - -
24 SSL_RC2_CBC_128_CBC_EXPORT40_WITH_MD5 40 - y - - - -
22 SSL_RC4_128_EXPORT40_WITH_MD5 40 - y - - - -
FE SSL_RSA_FIPS_WITH_DES_CBC_SHA 56 - - - - - -
FF SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA 168 - - - - - -

Ícone que indica o tipo de tópico Tópico de Referência



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=rihs_ciphspec
Nome do arquivo: rihs_ciphspec.html