TLS policy

La pagina TLS policy controlla come i singoli servizi configurano il protocollo TLS (Transport Layer Security), selezionando un identificativo di policy.

Se non diversamente specificato, le impostazioni TLS delle policy sono sempre cumulative: le nuove policy estendono quelle più vecchie.

Ogni implementazione di modulo decide come implementare uno specifico identificatore di policy, fornendo un compromesso tra sicurezza e compatibilità con il client. Le politiche più recenti sono più orientate alla sicurezza, mentre quelle più vecchie offrono una migliore compatibilità con i vecchi client.

Le seguenti sezioni descrivono ciascun identificatore di policy.

Policy 2018-10-01

Questo criterio limita le impostazioni TLS della configurazione predefinita di Ejabberd. Si applica solo a Ejabberd versione 18 e successivi.

Ejabberd (XMPP)
  • Vedi https://bettercrypto.org/static/applied-crypto-hardening.pdf category B

  • Disabilitati SSLv3 e TLSv1.0

  • Priorità di cifratura del server

  • Certificato ECC

  • Cifrari supportati:

    ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
    

Policy 2018-06-21

Questa policy estende la 2018-03-30 aggiungendo il supporto per i certificati ECC a

  • Apache
  • Dovecot
  • Postfix
Slapd (openldap-servers)

Policy 2018-03-30

L’obiettivo di questa politica è di rafforzare il set di cifratura di default fornito da upstream . Non è compatibile con IE 8 XP e Java 6u45 e 7u25 client. Non supporta i certificati ECC.

Apache
Dovecot
  • Vedi https://bettercrypto.org/static/applied-crypto-hardening.pdf category B

  • Cipher suite

    EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
    
  • Disabilita SSLv2 e SSLv3

Postfix
  • Vedi https://bettercrypto.org/static/applied-crypto-hardening.pdf category B

  • Utilizza TLS per le connessioni in uscita, se il server remoto lo supporta

  • Disabilita SSLv2 e SSLv3 sulle porte di submission

  • Cipher suite

    EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA256:EECDH:+CAMELLIA128:+AES128:+SSLv3:kEDH:CAMELLIA128-SHA:AES128-SHA
    
  • Exclude ciphers

    aNULL:eNULL:LOW:3DES:MD5:EXP:PSK:DSS:RC4:SEED:IDEA:ECDSA
    

Politica upstream predefinita

L’obiettivo di questa policy è mantenere le impostazioni upstream. Questo è l’obiettivo principale dall’avvento di NethServer 7.

Questa politica consente di personalizzare httpd (Apache) con una determinata lista di cifrature, eseguendo i seguenti comandi:

config setprop httpd SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
signal-event nethserver-httpd-update