Durante una sesión SSL/TLS se utilizan dos tipos de cifrado: simétrico y asimétrico. Mientras que el tamaño de la clave para el cifrado asimétrico (2048/4096 bits) depende del certificado emitido y de una clave privada adecuada, el tamaño de la clave para el cifrado simétrico (128/256 bits) no depende ni del certificado ni de la clave privada, sino en las capacidades y configuraciones del servidor y del navegador (o de cualquier otro tipo de cliente) únicamente.
Una vez que se establece una conexión entre el servidor y el cliente, y se envía una clave pública codificada en el certificado desde el servidor al cliente, el cliente necesita generar una clave simétrica para cifrar los datos que se transmitirán más. El cliente y el servidor comparan sus listas de algoritmos de cifrado disponibles y eligen el más potente que ambos admitan para el cifrado simétrico. Hoy en día los clientes y servidores modernos suelen utilizar tres algoritmos para ello:
Si su servidor permite especificar los algoritmos que se deben elegir durante un protocolo de enlace SSL/TLS, puede obligar a su servidor a utilizar solo cifrado de 256 bits. Obviamente, primero debes asegurarte de que tu servidor admita cifrado de 256 bits. En el caso de servidores basados en *nix, los cifrados disponibles generalmente dependen de una biblioteca openssl. Para encontrar la lista de cifrados compatibles, ejecute el siguiente comando:
$ cifrados openssl
Si ve AES128 en el resultado, puede obligar a su servidor a usar solo este cifrado para el cifrado simétrico. Por ejemplo, en Apache solo necesita agregar la siguiente línea en el registro VirtualHost donde se describe su certificado:
SSLCipherSuite AES256
Recuerde que con dicha configuración los clientes que no soporten un algoritmo AES(256) no podrán establecer una conexión SSL/TLS con su servidor. Por lo tanto, dicha configuración mejorará la seguridad pero reducirá la compatibilidad con los clientes.
Esta opción no reducirá la compatibilidad con los clientes como la anterior, pero todavía hay una serie de clientes obsoletos, como Internet Explorer 5 o inferior, que no admiten estos algoritmos y utilizan claves de 40 bits para el cifrado simétrico, lo que se considera inseguro hoy en día. . Los certificados con una función de criptografía controlada por servidor (SGC) pueden actualizar un tamaño de clave simétrico incluso con dichos clientes a 128 bits y parecen ser una solución para un equilibrio óptimo entre compatibilidad y seguridad. Sin embargo, estos clientes obsoletos tienen otras vulnerabilidades además de un tamaño de clave simétrico insuficiente, por lo que una sesión con un cliente de este tipo difícilmente puede considerarse segura incluso en el caso de certificados con SGC.
Facebook Comments
Disqus