SSLDisableExportCiphers

bezpečnost nadevše, ale ...

Wednesday, 10. December 2008

Certifikační autorita nad serverem Lotus Domino je známá věc. Stačí vytvořit internetového "certifikátora", zmigrovat cert.id (doporučuji backup), otočit admin proces a spustit task. Díky CA můžeme vytvářet své vlastní certifikáty. Obsahem certifikátů jsou veřejné a privátní klíče, kde ty veřejné jsou v certifikátech. Privátní jsou v souborech ID a souboru keyring vytvořeného pro zprovoznění SSL.

Problém ale nastává s nastavením velikosti klíče. Platí zde: čím větší, tím "větší" bezpečnost. Velikost je uvedena v bitech. Na druhou stranu je nutné si uvědomit závislost na exportu klíče. Při zprovoznění SSL máte k dispozici nastavení SSL šifer (SSL ciphers), které se budou používat.

SSL šifry

Tady nastává právě ten problém. Pokud zvolíte velikost klíče příliš velkou, moc šifer vám nezbyde. Pokud nastavíte některou navíc, která nepodporuje velikost klíče, bude při prvním dotazu na web serveru vypnuta. Pro klíč  2048 vám nezbyde skoro žádná, pro 1024 všechny kromě RC4 šifrování 40 bitového klíče. Pro 512 jsou podporovány všechny. Zlý jazykové tvrdí, že pravidlo "čím větší, tím bezpečnější" zde neplatí, neboť některé prohlížeče můžou mít problémy s exportem klíčů větších jak 512. Osobně jsem zvolil klíč o velikosti 1024, který je dostačující a zmíněnou šifru vypnul, aby "nestrašila" v logu.

Vypnutí šifry "RSA_EXPORT_WITH_RC4_40_MD5" - krok za krokem:

  • otevřít server dokument
  • záložka porty
  • záložka internetové porty
  • nastavení SSL
  • tlačítko Změnit (Modify)
  • vypnout RC4 encryption with 40-bit key and MD5 MAC
  • "zapnout" No encryption with MD5 MAC

Zkoušel jsem export u IE6/7, FF3 a Opera 9.62. Vše bez problémů. S problémy se můžeme setkat pravděpodobně se staršími verzemi prohlížečů.

 


systém spravován pomocí webmaker.ooo.cz
©2006-2017 Tomáš Hanus | ixulot | ixodesign.cz | RSS