Приоритет шифрования SSL/TLS
Я работаю над тем, чтобы понять, что требуется как для соответствия PCI DSS, так и для соответствия FIPS в отношении наборов шифров SSL/TLS. Я читал руководство здесь и здесь. Однако я не смог найти ничего, что указывало бы, в каком порядке или приоритете я должен перечислить шифры. Я вижу, какие из них мне нужно использовать и отключить, но я предполагаю, что для них должен соблюдаться приоритет, так как Что ж. Это в первую очередь для серверов Windows, а затем я расскажу о том, чтобы выполнить то же самое с серверами Linux под управлением Apache.
2 ответа
Это зависит от версии Windows/IIS. В 2003 году (IIS 6) и ранее этого сделать нельзя. Вы можете только включить / отключить шифры. В Windows 2008 (IIS 7) и более поздних версиях вы можете сделать это через объект групповой политики (если вы подключены к домену, и я предполагаю, что этот сервер не будет, если он совместим с PCI).
Более подробная информация здесь: http://technet.microsoft.com/en-us/library/cc766285(v=ws.10).aspx
Почему вы предполагаете, что нужен приоритет?
Ни один стандарт соответствия, о котором я когда-либо слышал, не рекомендовал бы конкретного приоритета; в конце концов, если шифр небезопасен, его следует отключить, а не просто расставлять приоритеты.
Тем не менее, предпочтение RC4 по сравнению с CBC-построенными шифрами может быть разумным, пока TLS 1.1 не будет широко развернут; см. CVE-2011-3389.