[AIX Solaris HP-UX Linux Windows][z/OS]

Especificações de Cifras SSL

Quando uma conexão SSL é estabelecida, o cliente (navegador da Web) e o servidor da Web negociam o código a utilizar para a conexão. O servidor da Web tem uma lista ordenada de códigos e o primeiro código na lista que é suportado pelo cliente é selecionado.

Introdução

Visualize a lista de códigos de SSL atuais.
Atenção: Esta lista de códigos poderá ser alterada como resultado das atualizações nos Padrões de mercado. É possível determinar a lista de códigos suportados em uma versão específica do IBM HTTP Server configurando-a para carregar mod_ibm_ssl e executando bin/apachectl -t -f path/to/httpd.conf -DDUMP_SSL_CIPHERS.

A diretiva SSLFIPSEnable ativa o FIPS (Federal Information Processing Standards). Quando a diretiva SSLFIPSEnable é ativada, o conjunto de códigos disponíveis é restringido conforme mostrado e SSLv2 e SSLv3 são desativados.

[8.5.0.2 or later] Evitar Problemas Evitar Problemas:
  • As cifras que contêm "ECDHE" no nome apenas estão disponíveis no 8.5.0.2/8.0.0.6 e posterior.
  • As cifras que contêm "ECDHE" no nome devem ser ativadas explicitamente e devem ser ativadas pelo "nome longo".
  • As cifras que contêm "ECDHE_RSA" no nome usam um certificado RSA padrão e podem coexistir com as cifras e os clientes do RSA antigos.
  • As cifras que contêm "ECDHE_ECDSA" no nome requerem a criação de um certificado/chave ECC (Elliptic Curve Cryptography) (com gskcapicmd para execução em uma plataforma distribuída ou gskkyman para execução no z/OS).
  • No z/OS, vários critérios devem ser atendidos para usar cifras "ECDHE":
    • O TLSv1.2 deve ser ativado explicitamente usando a diretiva SSLProtocolEnable.
    • O z/OS V1R13 com OA39422, ou posterior, é necessário para usar o TLSv1.2 no z/OS.
    • O ICSF deve estar disponível para usar o ECC ou as cifras AES-GCM. Consulte "Requisitos de Recurso do RACF CSFSERV" em Programando SSL do Sistema de Serviços Criptográficos z/OS para obter mais informações.
gotcha

Códigos SSL e TLS

Atenção: Observe os valores de código SSL e TLS a seguir:
  • - = código que não é válido para o protocolo
  • d = código é ativado por padrão
  • y = código é válido mas não ativado por padrão
[8.5.0.2 or later] Atenção: TLS v1.1 e v1.2 não estão disponíveis no sistema operacional z/OS, a menos que duas condições sejam atendidas:
  • z/OS V1R13 com OA39422, ou posterior, é necessário.
  • A configuração do IHS deve ser atualizada para especificar "SSLProtocolEnable TLSv1.1 TLSv1.2".
Para Usuários de Transição Para Usuários de Transição: Para melhorar a segurança, o IBM HTTP Server Versão 8.0 desativa códigos SSL fracos, códigos SSL de exportação e o protocolo SSL versão 2 por padrão. SSL Versão 2, códigos fracos e códigos de exportação geralmente são inadequados para cargas de trabalho de SSL de produção na internet e são sinalizados por scanners de segurança. Para ativar códigos, use a diretiva SSLCipherSpec. trns

[8.5.0.2 or later] [Updated in February 2014]
Tabela 1. Cifras TLS de força média e alta
Nome Abreviado Nome Longo Tamanho da chave (bits) FIPS SSLV2 SSLV3 TLSv10 TLSv11 TLSv12
Nome Abreviado Nome longo Tamanho de Chave (bits) FIPS SSLV2 SSLV3 TLSv10 TLSv11 TLSv12
35 SSL_RSA_WITH_RC4_128_SHA 128 - - d d d y
34 SSL_RSA_WITH_RC4_128_MD5 128 - - d d d -
9C TLS_RSA_WITH_AES_128_GCM_SHA256 128 I - - - - d
9D TLS_RSA_WITH_AES_256_GCM_SHA384 256 I - - - - d
3C TLS_RSA_WITH_AES_128_CBC_SHA256 128 I - - - - d
3D TLS_RSA_WITH_AES_256_CBC_SHA256 256 I - - - - d
2F TLS_RSA_WITH_AES_128_CBC_SHA 128 I - d d d d
35b TLS_RSA_WITH_AES_256_CBC_SHA 256 I - d d d d
3A SSL_RSA_WITH_3DES_EDE_CBC_SHA 168 I - d d d d
C023 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 128 I - - - - y
C024 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 256 I - - - - y
C027 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 128 I - - - - y
C028 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 256 I - - - - y
C02B TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 128 I - - - - y
C02C TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 256 I - - - - y
C02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 128 I - - - - y
C030 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 256 I - - - - y
[Updated in February 2014]

Códigos fracos, não ativados por padrão:


[8.5.0.2 or later] [Updated in February 2014]
Tabela 2. Outras cifras TLS
Nome Abreviado Nome Longo Tamanho da chave (bits) FIPS SSLV2 SSLV3 TLSv10 TLSv11 TLSv12
Nome Abreviado Nome longo Tamanho de Chave (bits) FIPS SSLV2 SSLV3 TLSv10 TLSv11 TLSv12
39 SSL_RSA_WITH_DES_CBC_SHA 56 - - y y y -
33 SSL_RSA_EXPORT_WITH_RC4_40_MD5 40 - - y y - -
36 SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5 40 - - y y - -
62 TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA 56 - - y y - -
64 TLS_RSA_EXPORT1024_WITH_RC4_56_SHA 56 - - y y - -
32 SSL_RSA_WITH_NULL_SHA 0 - - y y y y
31 SSL_RSA_WITH_NULL_MD5 0 - - y y y -
3B TLS_RSA_WITH_NULL_SHA256 0 I - - - - y
30 SSL_NULL_WITH_NULL_NULL 0 - - y y y y
27 SSL_DES_192_EDE3_CBC_WITH_MD5 168 - y - - - -
21 SSL_RC4_128_WITH_MD5 128 - y - - - -
23 SSL_RC2_CBC_128_CBC_WITH_MD5 128 - y - - - -
26 SSL_DES_64_CBC_WITH_MD5 56 - y - - - -
24 SSL_RC2_CBC_128_CBC_EXPORT40_WITH_MD5 40 - y - - - -
22 SSL_RC4_128_EXPORT40_WITH_MD5 40 - y - - - -
FE SSL_RSA_FIPS_WITH_DES_CBC_SHA 56 - - - - - -
FF SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA 168 - - - - - -
[Updated in February 2014]
Tópico de Referência    

Termos e condições para centros de informações | Feedback

Última atualização: October 28, 2014 11:09 AM EDT
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=ihs-dist&topic=rihs_ciphspec
Nome do arquivo: rihs_ciphspec.html