Perché Android / IE utilizza 3DES quando AES è disponibile?

Ho un'installazione di Zimbra e desidero indurire le suite di cifratura. Ho disabilitato alcuni e sono abbastanza bene con quello che resta.

Il problema è che il Qualys SSL tes t dimostra che molti clienti utilizzeranno 3DES, che rimarranno disponibili solo come ultima fallback da parte di me.

  • Come combattere la vulnerabilità BEAST e mantenere PFS per i vecchi clienti?
  • Errore del certificato SSL: verifica l'errore: num = 20: imansible get il certificato locale dell'emittente
  • Gli indirizzi IP sono "banali da forgiare"?
  • Quali scuse sono i gestori IT / direttori che utilizzano per deferire l'aggiornamento da Internet Explorer 6?
  • Tripwire e alternative
  • Qual è la differenza tra una cache, una cache avanzata e una cache vuota?
  • Se esaminerò le cifre supportte di Android 5 e il mio server (ad esempio), ci sono più sovrapposizioni e la stessa suite di codici AES è disponibile a entrambi.

    Perché non è usata la cifra AES?

    Ecco l'intera test output: ssl test output

  • Quale file system UNIX utilizzi e consiglia per i server?
  • Servizi da disabilitare su una CentOS 5.3 appena installata?
  • Vale la pena di bloccare i tentativi di accesso non riusciti
  • Qualcuno sta cercando di battere il mio sito? Come bloccare alcuni URL in Nginx?
  • Overkill di protezione del server Web?
  • È bene usare un tasto SSH con una passphrase vuota?
  • 3 Solutions collect form web for “Perché Android / IE utilizza 3DES quando AES è disponibile?”

    Tipicamente each cliente ha la propria preferenza in cui le cifre supportno.

    Per attaccare il tuo esempio: Android 5.0.0 support un numero ragionevole ma ha alcune preferenze dispari, con alcune cifre oggettivamente più deboli preferite rispetto a quelle più forti.

    Secondo la scansione SSL Labs (la sezione "Cipher Suites (ordinata per forza, il server non ha alcuna preferenza" ), il tuo server supporterà solo un numero limitato di cifre e non visualizza una preferenza, lasciando la negoziazione di cifratura principalmente al client , che risulta in TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa)

    Questo comportmento è determinato dall'elenco di cifratura passato dal client al server, where il client indica al server quali cifratori support e quale priorità ciascuna di tali cifre ha. Android, in particolare, ha fatto alcune scelte insicure circa l'ordine di preferenza delle sue suite di cifratura , preferendo cifre molto insicure rispetto a quelle sicure che support, senza spiegare perché.

    Il mio sospetto è che è una scelta di design. Scegliendo una cifra less computazionale, si utilizza less potenza e pertanto ottiene una maggiore durata della batteria, cosa che i consumatori notano e preoccupano per uno smartphone e, invece, quando si tratta di sicurezza, finché l'utente finale vede quel block icona, "è sicuro", e questo è tutto quello che si preoccupano (se ne hanno anche molto cura).

    Quindi, stanno usando 3DES perché hanno una preferenza più elevata per quella cifra più debole e ti permettono di essere utilizzata. L'unico modo per impedirlo di essere scelto da un cliente con preferenze dubbie è quello di rimuoverlo.

    Per risolvere il problema già spiegato da @HBrujin e @ HopelessN00b, è ansible impostare una cifra di elenco preferita per il server web, che può anche avere preferenze, non solo il client. Raccommand di utilizzare le impostazioni elaborate dal progetto Bettercrypto.org Applied Crypto Hardening .

    Ad esempio per Apache, è ansible utilizzare

     SSLCipherSuite 'EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA' 

    nelle impostazioni per SSL / TLS. Per supportre 3DES, rimuovi 3DES dalla string, ma solo se è veramente necessario e devi sostenere il software del secolo scorso. Questo cipherstring può essere utilizzato in ambienti aziendali con vecchi software (che non è raccomandato, ma business, sai …).

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.