[Cipher suites] リストのデフォルト設定は、次のように指定されます。
@SECLEVEL=1 kEECDH+ECDSA kEECDH kEDH HIGH MEDIUM !3DES +SHA !RC4 !aNULL !eNULL !LOW !MD5 !EXP
このリストは、優先度の高い順に以下のセキュリティを提供します。
このデフォルトの暗号リストでは、RSA 証明書とともに使用される場合に中程度の強度を持つ暗号を含む、次の暗号コレクションが提供されます。
暗号スイート名 (OpenSSL) | キー交換 | 暗号化 | キー長 |
---|---|---|---|
ECDHE-RSA-AES256-GCM-SHA384 | ECDH 256 | AES GCM | 256 |
ECDHE-RSA-AES256-SHA384 | ECDH 256 | AES | 256 |
ECDHE-RSA-AES256-SHA | ECDH 256 | AES | 256 |
DHE-RSA-AES256-GCM-SHA384 | DH 1024 | AES GCM | 256 |
DHE-RSA-AES256-SHA256 | DH 1024 | AES | 256 |
DHE-RSA-AES256-SHA | DH 1024 | AES | 256 |
DHE-RSA-CAMELLIA256-SHA | DH 1024 | Camellia | 256 |
AES256-GCM-SHA384 | RSA | AES GCM | 256 |
AES256-SHA256 | RSA | AES | 256 |
AES256-SHA | RSA | AES | 256 |
CAMELLIA256-SHA | RSA | Camellia | 256 |
ECDHE-RSA-AES128-GCM-SHA256 | ECDH 256 | AES GCM | 128 |
ECDHE-RSA-AES128-SHA256 | ECDH 256 | AES | 128 |
ECDHE-RSA-AES128-SHA | ECDH 256 | AES | 128 |
DHE-RSA-AES128-GCM-SHA256 | DH 1024 | AES GCM | 128 |
DHE-RSA-AES128-SHA256 | DH 1024 | AES | 128 |
DHE-RSA-AES128-SHA | DH 1024 | AES | 128 |
DHE-RSA-SEED-SHA | DH 1024 | SEED | 128 |
DHE-RSA-CAMELLIA128-SHA | DH 1024 | Camellia | 128 |
AES128-GCM-SHA256 | RSA | AES GCM | 128 |
AES128-SHA256 | RSA | AES | 128 |
AES128-SHA | RSA | AES | 128 |
SEED-SHA | RSA | SEED | 128 |
CAMELLIA128-SHA | RSA | Camellia | 128 |
ECDHE-RSA-DES-CBC3-SHA | ECDH 256 | 3DES | 168 |
EDH-RSA-DES-CBC3-SHA | DH 1024 | 3DES | 168 |
DES-CBC3-SHA | RSA | 3DES | 168 |
Micro Focus では、次の [Cipher suites] 文字列を使用してセキュリティを強化することを推奨しています。
HIGH:!SSLv2:!RC4:!aNULL@STRENGTH
RSA 証明書とともに使用する場合、この [Cipher suite] 文字列は次の暗号コレクションを提供します。
暗号スイート名 (OpenSSL) | キー交換 | 暗号化 | キー長 |
---|---|---|---|
ECDHE-RSA-AES256-GCM-SHA384 | ECDH 256 | AES GCM | 256 |
ECDHE-RSA-AES256-SHA384 | ECDH 256 | AES | 256 |
ECDHE-RSA-AES256-SHA | ECDH 256 | AES | 256 |
DHE-RSA-AES256-GCM-SHA384 | DH 1024 | AES GCM | 256 |
DHE-RSA-AES256-SHA256 | DH 1024 | AES | 256 |
DHE-RSA-AES256-SHA | DH 1024 | AES | 256 |
DHE-RSA-CAMELLIA256-SHA | DH 1024 | Camellia | 256 |
AES256-GCM-SHA384 | RSA | AES GCM | 256 |
AES256-SHA256 | RSA | AES | 256 |
AES256-SHA | RSA | AES | 256 |
CAMELLIA256-SHA | RSA | Camellia | 256 |
ECDHE-RSA-AES128-GCM-SHA256 | ECDH 256 | AES GCM | 128 |
ECDHE-RSA-AES128-SHA256 | ECDH 256 | AES | 128 |
ECDHE-RSA-AES128-SHA | ECDH 256 | AES | 128 |
DHE-RSA-AES128-GCM-SHA256 | DH 1024 | AES GCM | 128 |
DHE-RSA-AES128-SHA256 | DH 1024 | AES | 128 |
DHE-RSA-AES128-SHA | DH 1024 | AES | 128 |
DHE-RSA-CAMELLIA128-SHA | DH 1024 | Camellia | 128 |
AES128-GCM-SHA256 | RSA | AES GCM | 128 |
AES128-SHA256 | RSA | AES | 128 |
AES128-SHA | RSA | AES | 128 |
CAMELLIA128-SHA | RSA | Camellia | 128 |
必要に応じて、個々の暗号スイートを追加または削除できます。使用可能な暗号スイートの順序を指定するには、暗号演算子の組み合わせを使用します。詳細については、「TLS プロトコル文字列の構成」を参照してください。
任意の暗号スイートを優先リストに追加できますが、証明書およびキーがその暗号スイートをサポートしていない場合、クライアントに提供されないことがあります。
ECDSA および RSA の両方の認証方式が暗号リストでサポートされている場合、サポートされている認証のタイプに関係なく、強力な暗号リストを構成できます。たとえば、RSA 証明書とともに使用される場合、暗号リストの ECDSA の側面は無視されます。
[Cipher suites] 文字列は、優先順に指定し、先頭が最も高い優先順位となり、末尾が最も低い優先順位となります。
古いブラウザーやクライアントとの互換性が必要な場合は、次のように、HIGH の後に MEDIUM を挿入し、!MEDIUM を削除します。
kEECDH+ECDSA kEECDH kEDH HIGH MEDIUM +SHA !RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP
MEDIUM を指定すると、古い SSL3 および TLS1 暗号スイートを使用できます。このキーワードが指定されていない場合、そのような古いプロトコルが選択されていても使用できません。
上の暗号スイート リストは、次の要素で構成されています。