![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
SSL-Verschlüsselungsspezifikationen
Wenn eine SSL-Verbindung hergestellt wird, vereinbaren der Client (Web-Browser) und der Web-Server die Verschlüsselung, die für diese Verbindung verwendet wird. Der Web-Server besitzt eine sortierte Liste mit Verschlüsselungen, und die erste Verschlüsselung in der Liste, die vom Client unterstützt wird, wird ausgewählt.
Einführung
Sehen Sie sich die Liste
der aktuellen SSL-Verschlüsselungen an.
Achtung: Diese Liste mit Verschlüsselungen kann sich aufgrund von Aktualisierungen von Branchenstandards ändern.
Sie können die Liste der in einer bestimmten Version von IBM® HTTP Server unterstützten Verschlüsselungen ermitteln, indem Sie sie so konfigurieren, dass
mod_ibm_ssl geladen und bin/apachectl
-t -f Pfad/zu/httpd.conf -DDUMP_SSL_CIPHERS ausgeführt wird.
Die Anweisung "SSLFIPSEnable" aktiviert Federal Information Processing Standards (FIPS). Wenn die Anweisung "SSLFIPSEnable" aktiviert ist, ist die Gruppe verfügbarer Verschlüsselungen wie folgt beschränkt, und SSLv2 und SSLv3 sind inaktiviert.

- Verschlüsselungen, die die Zeichenfolge "ECDHE" in ihrem Namen enthalten, sind nur in Version 8.5.0.2, 8.0.0.6 und höher verfügbar.
- Verschlüsselungen, die die Zeichenfolge "ECDHE" in ihrem Namen enthalten, müssen explizit über ihren vollständingen Namen aktiviert werden.
- Verschlüsselungen, die die Zeichenfolgen "ECDHE_RSA" in ihrem Namen enthalten, verwenden ein RSA-Standardzertifikat und können mit älteren RSA-Verschlüsselungen und -Clients koexistieren.
- Bei Verschlüsselungen mit der Zeichenfolge "ECDHE_ECDSA" in ihrem Namen wird vorausgesetzt, dass ein ECC-Zertifikat oder -Schlüssel (Elliptic Curve Cryptography) erstellt wird (mit dem Befehl "gskcapicmd" auf einer verteilten Plattform oder dem Befehl "gskkyman" unter z/OS).
Unter z/OS müssen mehrere Bedingungen erfüllt sein, damit Verschlüsselungen vom Typ "ECDHE" verwendet werden können:
- TLSv1.2 muss explizit mit der Anweisung "SSLProtocolEnable" aktiviert werden.
- Zur Verwendung von TLSv1.2 unter z/OS ist z/OS V1R13 mit OA39422 erforderlich.
- ICSF muss verfügbar sein, damit ECC- oder AES-GCM-Verschlüsselungen verwendet werden können. Weitere Informationen finden Sie im Abschnitt "RACF CSFSERV Resource Requirements" in der Veröffentlichung z/OS Cryptographic Services System SSL Programming.
SSL- und TLS-Verschlüsselungen
Achtung: Beachten Sie die folgenden SSL- und TLS-Verschlüsselungswerte:
- - = Verschlüsselung, die für das Protokoll nicht gültig ist
- d = Verschlüsselung ist standardmäßig aktiviert
- y = Verschlüsselung ist gültig, aber standardmäßig nicht aktiviert
Achtung: TLS Version 1.1 und Version 1.2 können nur dann auf dem Betriebssystem z/OS verwendet werden, wenn die folgenden zwei Bedingungen erfüllt sind:
- z/OS V1R13 mit OA39422 oder höher ist erforderlich.
- Sie müssen die Konfiguration von IBM HTTP Server mit der Angabe SSLProtocolEnable TLSv1.1 TLSv1.2 aktualisieren.

Kurzname | Vollständiger Name | Schlüsselgröße (Bit) | FIPS | SSLV2 | SSLV3 | TLSv10 | TLSv11 | TLSv12 |
---|---|---|---|---|---|---|---|---|
35 | SSL_RSA_WITH_RC4_128_SHA | 128 | - | - | Y | Y | Y | Y |
34 | SSL_RSA_WITH_RC4_128_MD5 | 128 | - | - | Y | Y | Y | - |
9C | TLS_RSA_WITH_AES_128_GCM_SHA256 | 128 | Y | - | - | - | - | d |
9D | TLS_RSA_WITH_AES_256_GCM_SHA384 | 256 | Y | - | - | - | - | d |
3C | TLS_RSA_WITH_AES_128_CBC_SHA256 | 128 | Y | - | - | - | - | d |
3D | TLS_RSA_WITH_AES_256_CBC_SHA256 | 256 | Y | - | - | - | - | d |
2F | TLS_RSA_WITH_AES_128_CBC_SHA | 128 | Y | - | Y | d | d | d |
35b | TLS_RSA_WITH_AES_256_CBC_SHA | 256 | Y | - | Y | d | d | d |
3A | SSL_RSA_WITH_3DES_EDE_CBC_ SHA | 168 | Y | - | Y | d | d | d |
C007 | TLS_ECDHE_ECDSA_WITH_RC4_128_SHA | 128 | Y | - | - | - | - | d* |
C008 | TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA | 168 | Y | - | - | - | - | d* |
C009 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | 128 | Y | - | - | - | - | d* |
C00A | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | 256 | Y | - | - | - | - | d* |
C010 | TLS_ECDHE_RSA_WITH_NULL_SHA | 0 | Y | - | - | - | - | d* |
C011 | TLS_ECDHE_RSA_WITH_RC4_128_SHA | 128 | Y | - | - | - | - | d* |
C012 | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA | 168 | Y | - | - | - | - | d* |
C013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | 128 | Y | - | - | - | - | d* |
C014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | 256 | Y | - | - | - | - | d* |
C023 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | 128 | Y | - | - | - | - | d* |
C024 | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | 256 | Y | - | - | - | - | d* |
C027 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | 128 | Y | - | - | - | - | d* |
C028 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | 256 | Y | - | - | - | - | d* |
C02B | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | 128 | Y | - | - | - | - | d* |
C02C | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | 256 | Y | - | - | - | - | d* |
C02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | 128 | Y | - | - | - | - | d* |
C030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | 256 | Y | - | - | - | - | d* |
Achtung: * gibt an, dass SSLv3 standardmäßig inaktiviert ist.
Anmerkung: ECDHE-Verschlüsselungen sind für
TLSv1.2 standardmäßig aktiviert, außer auf
z/OS-Plattformen (mit d* angegeben).
Schwächere Verschlüsselungen, die standardmäßig nicht aktiviert sind:
Kurzname | Vollständiger Name | Schlüsselgröße (Bit) | FIPS | SSLV2 | SSLV3 | TLSv10 | TLSv11 | TLSv12 |
---|---|---|---|---|---|---|---|---|
39 | SSL_RSA_WITH_DES_CBC_SHA | 56 | - | - | y | y | y | - |
33 | SSL_RSA_EXPORT_WITH_RC4_40_ MD5 | 40 | - | - | y | y | - | - |
36 | SSL_RSA_EXPORT_WITH_RC2_ CBC_40_MD5 | 40 | - | - | y | y | - | - |
62 | TLS_RSA_EXPORT1024_WITH_ DES_CBC_SHA | 56 | - | - | y | y | - | - |
64 | TLS_RSA_EXPORT1024_WITH_ RC4_56_SHA | 56 | - | - | y | y | - | - |
32 | SSL_RSA_WITH_NULL_SHA | 0 | - | - | y | y | y | y |
31 | SSL_RSA_WITH_NULL_MD5 | 0 | - | - | y | y | y | - |
3B | TLS_RSA_WITH_NULL_SHA256 | 0 | Y | - | - | - | - | y |
30 | SSL_NULL_WITH_NULL_NULL | 0 | - | - | y | y | y | y |
27 | SSL_DES_192_EDE3_CBC_WITH_MD5 | 168 | - | y | - | - | - | - |
21 | SSL_RC4_128_WITH_MD5 | 128 | - | y | - | - | - | - |
23 | SSL_RC2_CBC_128_CBC_WITH_MD5 | 128 | - | y | - | - | - | - |
26 | SSL_DES_64_CBC_WITH_MD5 | 56 | - | y | - | - | - | - |
24 | SSL_RC2_CBC_128_CBC_EXPORT40_WITH_MD5 | 40 | - | y | - | - | - | - |
22 | SSL_RC4_128_EXPORT40_WITH_MD5 | 40 | - | y | - | - | - | - |
FE | SSL_RSA_FIPS_WITH_DES_CBC_SHA | 56 | - | - | - | - | - | - |
FF | SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA | 168 | - | - | - | - | - | - |