ugrás a tartalomhoz

TLS 1.2 Long-term Support Profile

Joó Ádám · 2016. Már. 16. (Sze), 19.51
Hosszútávon megbízható, csak az igazoltan biztonságos elemekre szűkített profil a TLS 1.2-höz
 
1

Kérdések

Hidvégi Gábor · 2016. Már. 17. (Cs), 12.57
Ádám, ezzel most mit lehet kezdeni? Kinek hordoz ez információt?

Ez alapján hogyan kell beállítani az Apache/nginx szervereket, hogy csak a megfelelő algoritmusokat használják?
2

Kinek hordoz ez

Joó Ádám · 2016. Már. 17. (Cs), 13.43
Kinek hordoz ez információt?


Annak, aki TLS-en elérhető szolgáltatásokat üzemeltet.

Ez alapján hogyan kell beállítani az Apache/nginx szervereket, hogy csak a megfelelő algoritmusokat használják?


A megfelelő konfigurációs paraméterekkel, már amelyikhez a szerver jelenleg elérhetővé tesz ilyet.
3

Nem értem

Hidvégi Gábor · 2016. Már. 17. (Cs), 14.06
Ezzel egyelőre nem tudok mit kezdeni. A dokumentum ilyeneket említ:
TLS-LTS implementations MUST support
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_DHE_PSK_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 and
TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA256

Ezzel szemben egy általam talált weboldal szerint a következőt kell beírni:
ssl_ciphers "HIGH:!aNULL:!MD5 or HIGH:!aNULL:!MD5:!3DES";

Egy második a következőt ajánlja:
ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';

Egy harmadik pedig ezt:
ssl_ciphers 'EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS +RC4 RC4';

Akkor most melyik a jó? A fenti dokumentum alapján mit kell beírni?
4

Akkor most melyik a jó?Azt

Joó Ádám · 2016. Már. 17. (Cs), 14.38
Akkor most melyik a jó?


Azt neked kell mérlegelned a követelményeid szerint.

A fenti dokumentum alapján mit kell beírni?
ssl_ciphers DHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-PSK-AES128-CBC-SHA256;
De ezen kívül még számos követelménye van a specifikációnak, ha támogatott lesz, akkor talán csak annyit kell majd beírni, hogy
ssl_tls_lts_profile on;