Ist Support für ältere Browser und/ oder Anwendungen gegeben, wählen Sie bitte eines der beiden folgenden Verschlüsselungsprofile aus.

 

Profil A:

  • Protokoll: TLS v1.2
  • Verschlüsselung: AES mit 128 bit GCM-Modus
  • Zufallsfunktion: TLS PRF mit SHA-256
  • Authentifikation: ECDSA-256 mit SHA-256 auf der P-256-Kurve
  • Schlüsselaustausch: via ECDH und P-256-Kurve

 

Je nach Anwender-Ausstattung und -Infrastruktur könnte Ihr Service mit Profil A eventuell nicht erreichbar sein. Eine geeignete Alternative besteht aus einer RFC-konformen Umsetzung von TLS unter Verwendung der folgenden Parameter:

 

Profil B:

  • Protokoll: TLS v1.2
  • Verschlüsselung: AES mit 128 bit CBC-Modus
  • Zufallsfunktion: TLS PRF mit SHA-256
  • Authentifikation: 509-Zertifikate mit 2.048 bit-RSA-Signaturen und SHA-256
  • Schlüsselaustausch: DH-Gruppe 14 (2048-bit MODP-Gruppe)
  • Integrität: SHA-256

 

Abweichungen von diesem Profil, beispielsweise durch die Verwendung von GCM anstelle von CBC oder dem Einsatz von Perfect Forward Secrecy (PFS) sind nicht nur möglich, sondern wünschenswert.

Kommentare

  1. Pingback: CESG veröffentlicht Leitlinien für die sichere TLS-Konfiguration auf Servern › PSW GROUP Blog

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.