TLS 1.0、1.1、および1.2に推奨される暗号スイート

NISTは、TLSの使用に関するガイダンスとして「Special Publication SP 800-52 "」を維持しています。2014年4月に公開されました SP 800-52リビジョン1 。

オプションの組み合わせはたくさんありますが、簡単に答えに変えることはできません。 NISTが本当に望んでいるものを確認するには、ドキュメントを読む必要があります。 NISTの推奨事項の概要については、セクション3.9（サーバーの場合）および4.9（クライアントの場合）を参照してください。いくつかのハイライト：

• NISTではTLS 1.1のサポートが必要ですが、TLS 1.2を強くお勧めします。 SSL 2.0および3.0は明示的に禁止されています。 「政府のみのアプリケーション」用のTLSサーバーは、TLS 1.0もサポートしていないことが必要です（そのため、本当に最新バージョンの使用を強制したいのです）。システム管理者は、2015年1月1日までにTLS 1.2の一般的なサポートの「移行計画を作成」することが期待されています（そのため、NISTは急いでいるほどです）（ただし、すぐに実現するとは思いません）。
• 彼らは静的なDiffie-Hellmanをドロップし（とにかく誰もサポートしません）、最終的にRSAを採用します。もちろん、2048ビット以上のキー。 P-256またはP-384標準NIST曲線を使用して、ECDSAも許容されます。
• 彼らはECDHE暗号スイートを推奨しています（そして彼らはDHEよりもECDHEを優先しています）。
• 暗号化は3DESまたはAESです。 3DESサポートは引き続き維持する必要があります（「相互運用性の理由から」と主張します。AES暗号スイートをサポートしない展開されたシステムがまだたくさんあると想定する必要があります）。
• TLS 1.2を使用する場合は、もちろんAES-GCMの使用をお勧めします。
• 証明書の透明性、DANE（DNSSEC）、収束などについての付録が含まれていますが、特定の推奨事項はありません。
• SRPについては、良い言葉も悪い言葉もありません。彼らはdoPSK暗号スイートについて少し話します（そして、それらを使用しないことをお勧めします）。

RFC 6460-Transport Layer Security（TLS） のSuite Bプロファイルを確認することをお勧めします。 （新しいRFCを強調してくれたJumbogramに感謝します）。

回避すべき既知のweak暗号スイートのリストもいくつかあります。 OWASPから これらのテストに関するいくつかのガイドライン を見つけることができます。

そして、最近、BEASTについて少し騒動が起こっています。stackexchangeへのいくつかの投稿を含みます...これが 私のお気に入りの1つ :)です。