web-dev-qa-db-ja.com

SSL暗号としてRC4-MD5 / RC4-SHAをほとんどの目的に十分に使用していますか?

AWS ELBで証明書をアップロードし、「RC4-MD5」+「RC4-SHAのみを選択しました "を暗号として使用し、ssltestでスコアA [1]

デフォルトのELB設定を使用している場合、得点は[〜#〜] c [〜#〜]のみです。

私はPCI準拠のサイトをやっていないので、上記の2つの暗号のみを使用することで、ほとんどの目的で十分ですか? (十分に私は幅広いブラウザサポートを意味します)

[1] https://www.ssllabs.com/ssltest/

4
Ryan

短い答え:はい、問題はありません

RC4、MD5、およびいくつかのマイナーな測定では、SHA-1にはすべて既知の欠点がありますが、それらのどれもがWebサイトを脆弱にすることはありません。正確に言うと:ifRC4-MD5暗号スイートを使用すると、Webサイトが著しく弱くなり、その後それ以外の場合は非常に強固になります- -実際に到達可能であると思われるよりもしっかりしています。

ただし、さらにいくつかの暗号スイートを投入することもできます。制限付きクライアントに対応するために、3DESまたはAES、あるいはその両方をサポートします。一部の人々は、ブラウザからメッセージを誤って取得し、パニックになり、RC4を完全に無効にしました。

Ssltestの「スコア」はほとんど意味がありません。読みすぎないでください。これはsecurity.SEの評判のようなものです。それは、実際のセキュリティよりも、高得点を獲得するために投資された努力に関連しています。

5
Thomas Pornin