SSL / TLS暗号の優先度

Question

私は、PCI DSSコンプライアンスとSSL/TLS暗号スイートに関連するFIPSコンプライアンス）の両方に必要なものを理解しようと取り組んでいます。Iガイドを読んでいますここおよびここ。しかし、暗号をリストする順序または優先順位を示すものを見つけることができませんでした。どれを見ることができますか使用して無効にする必要があるものですが、それらにも従う必要のある優先順位があると思います。これは主にWindowsサーバー用であり、後でApacheを実行しているLinuxサーバーに対して同じことを実行することを検討します。

John Homer · Accepted Answer

Windows/IISのバージョンによって異なります。 2003（IIS 6）以前では、これは実行できません。暗号化のみを有効/無効にできます。 Windows 2008（IIS 7）以降では、GPO（ドメインに参加している場合、このサーバーはPCIに準拠している場合はそうではないと思います）を介してこれを行うことができます。

詳細はこちら： http://technet.Microsoft.com/en-us/library/cc766285（v = ws.10）.aspx

Shane Madden · Answer

なぜ優先順位が必要だと思いますか？

私が今まで聞いたコンプライアンス基準では、特定の優先順位を推奨していません。結局のところ、暗号が安全でない場合は、優先順位を下げるのではなく、オフにする必要があります。

とはいえ、TLS 1.1が広く展開されるまでは、CBCで構築された暗号よりもRC4を優先するのが賢明かもしれません。 CVE-2011-3389 を参照してください。