web-dev-qa-db-fra.com

Utilise RC4-MD5 / RC4-SHA en tant que chiffres SSL suffisamment à cet effet?

Dans l'AWS elb, j'ai téléchargé un cert et seulement sélectionné " RC4-MD5 " + " RC4-SHA "En tant que chiffres et a marqué A dans le SSLTEST [1]

Si j'utilise le paramètre ELB par défaut, je ne peux que marquer un [~ # ~] c [~ # ~]

Puisque je ne fais pas de site compatible PCI, alors en utilisant uniquement les deux chiffres ci-dessus, est-ce suffisant pour la plupart des objectifs? (par assez, je veux dire une large gamme de support de navigateur)

[1] https://www.ssllabs.com/ssltest/

4
Ryan

Réponse courte: Oui, tout ira bien.

RC4, MD5 et, dans une certaine mesure mineure, SHA-1 ont tous des lacunes connues, mais aucun d'entre eux ne rendra votre site Web faible. Être précis: si À l'aide d'une suite Cipher RC4-MD5 Cipher rend votre site Web beaucoup plus faible, alors C'est extrêmement solide - plus solide que ce qui semble être pratiquement accessible, en effet.

Cependant, vous voudrez peut-être lancer dans quelques suites ciphères supplémentaires, par exemple. avec support pour 3DES et/ou AES, de manière à accueillir des clients restreints. Certaines personnes ont tort les messages, paniqués et désactivé la RC4 de leurs navigateurs.

Le "score" à Ssltest est presque sans signification. Ne lit pas trop dedans. C'est comme la réputation de Security.se: elle est davantage liée aux efforts investis dans l'obtention d'un score élevé qu'à une sécurité réelle.

5
Thomas Pornin