M'he de preocupar per les suites de xifrat com a usuari?

Els navegadors moderns gestionen la negociació. La suite de xifratge escollida es mostra quan feu clic al cadenat i inspeccioneu el certificat. Per a la majoria dels usuaris, està darrere de les escenes.

Per què TLS 1.3 té tan poques suites de xifratge?

Els centenars de combinacions de TLS 1.2 van facilitar les configuracions incorrectes vulnerables. TLS 1.3 es va reduir deliberadament a un petit conjunt de combinacions ben enteses, totes amb secret directe i xifratge autenticat.

Quina diferència hi ha entre AES-128-GCM i AES-256-GCM?

Longitud de la clau. L'AES de 128 bits és ràpid i es considera segur indefinidament contra els adversaris clàssics; 256 bits ofereix marge contra futurs avenços criptogràfics i contra adversaris conscients de la quàntica. Tots dos estan bé per a l'ús actual.

Quan he d'utilitzar ChaCha20-Poly1305 vs AES-GCM?

ChaCha20 és més ràpid en maquinari sense acceleració AES-NI (mòbil més antic, IoT). AES-GCM és més ràpid en maquinari modern amb AES-NI. Els navegadors negocien el millor ajust; els servidors haurien d'oferir tots dos.

La suite de xifratge afecta el rendiment?

Modestament. L'AES-GCM accelerat per maquinari és essencialment gratuït a les CPU modernes. La sobrecàrrega de la connexió de mans (intercanvi de claus) domina sobre el xifratge massiu per a connexions curtes. Per a connexions de gran volum de vida llarga, l'elecció de xifrat massiu importa lleugerament.

Explicació de les suites de xifratge TLS: lectura del menú criptogràfic

Cada connexió TLS negocia un conjunt de xifratge: la combinació específica d'algoritmes utilitzats per a l'intercanvi de claus, l'autenticació, el xifratge i la integritat. Els noms semblen una sopa d'alfabets (TLS_AES_256_GCM_SHA384, ECDHE-ECDSA-CHACHA20-POLY1305), però codifiquen les propietats de seguretat de la connexió. Llegir-los aclareix què passa realment quan el vostre navegador mostra un cadenat.

El cos complet de l'article es proporciona en anglès a continuació.

A TLS xifrat suite és una combinació anomenada d'algoritmes criptogràfics utilitzats per protegir una connexió TLS. Durant l'enllaç de TLS, el client i el servidor negocien quina suite de xifratge s'ha d'utilitzar en funció del que admet cadascun. L'elecció determina l'intercanvi de claus, l'autenticació, el xifratge i la integritat per a la resta de la connexió. KEX-AUTH-CIPHER-MAC.

Eixemple: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 es desglossa com a:

RSA — el servidor s'autentica mitjançant un certificat RSA
AES_256_GCM — ús de claus GCM-Abits en mode massiu amb xifratge256-AES (xifratge autenticat)
SHA384: MAC i KDF d'encaixada utilitzen SHA-384

TLS 1.3 simplificació

TLS 1.3 va netejar significativament la suite de xifratge. Les suites de xifratge ara només especifiquen el xifrat simètric i el hash. L'intercanvi de claus i l'autenticació es negocien per separat. Els noms tenen l'aspecte següent:

TLS_AES_256_GCM_SHA384 — AES-256-GCM amb SHA-384
TLS_AES_128_GCM_SHA45XG — AES-256-GCM amb SHA-384
TLS_AES_128_GCM_SHA45XG —AES-256-GCM SHA-256
TLS_CHACHA20_POLY1305_SHA256 — ChaCha20-Poly1305 amb SHA-256
TLS_AES_128_CCM_SHA525X — en mode AES_128_CCM_SHA525X —A
TLS_SHA53X SHA-256
TLS_AES_128_CCM_8_SHA256: el mateix amb MAC de 8 bytes, principalment per a dispositius restringits

TLS 1.3 només té cinc suites de xifratge estàndard en total. TLS 1.2 tenia centenars de combinacions possibles.

`Què significa cada peça`

Canvi de claus:

RSA: la clau RSA del servidor autentica i intercanvia la clau. Sense secret d'avantguarda. Eliminat a TLS 1.3.
DHE — Diffie-Hellman efímer. Endavant secret sí. S'utilitza a TLS 1.2; integrat a l'encaixada de mans a TLS 1.3.
ECDHE — efímera corba el·líptica Diffie-Hellman. Endavant secret sí. Ràpid. El valor predeterminat modern.

Autenticació (TLS 1.2):

RSA — el servidor té un certificat RSA
ECDSA — el servidor té un certificat de corba el·líptica

XPL— històric)PSK — clau precompartida (rara; per a IoT i alguns escenaris de VPN)

xifratge massiu:

AES_128_GCM, AES_128_GCM, AES_GCM_25_GCM Clau de 256 bits, xifratge autenticat
CHACHA20_POLY1305 — Xifrat de flux ChaCha20 amb Poly1305 MAC, l'alternativa moderna a AES
AES_128_CBC, AES_256_CBC —AES_256_CBC amb els patrons separats (AESMA-CBC) fora)
3DES_EDE_CBC — Triple DES, obsolet
RC4 — xifrat de flux trencat, ja no en cap suite moderna

Hash per encaixada de mans:

SHA256, SHA384 — Família SHA-2, estàndard modern
SHA — SHA-1, obsolet
MD5 — fa molt de temps obsolet XPLZPLZ1117Rens 2026La guia de configuració TLS de Mozilla és la referència estàndard del sector. El perfil actual actual suggereix: TLS només 1.3. Si la vostra base de clients ho admet (essencialment tot el que fa modern), no hi ha cap alternativa de TLS 1.2. PLZ129PLZ12: TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256. I Si s'ha d'admetre TLS 1.2:XPLZHE i suites ECDHE+ECDCha2+ECDCha2+ECDCha2+ només. Per a la compatibilitat amb clients més antics, calen més suites, incloses algunes sense secret. El perfil "intermedi" de Mozilla cobreix el 95% dels clients tot i que manté una seguretat raonable. Què s'elimina i per què La configuració de TLS moderna elimina: Intercanvi de claus no efímer (RSA normal, DH estàtic). Sense secret directe. CBC-mode de xifratge (en TLS 1.2 amb renegociació). Historial d'atacs (BEAST, Lucky 13XPLZPLZPLZ7X PLZPLZ 1.2). RC4. Criptogràficament trencat o massa lent. MD5, SHA-1 per encaixada de mans. Atacs de col·lisió. Suites anònimes. Sense autenticació del servidor, vulnerable a l'autenticació del servidor MITM. EXPORT-grade suites. Artefacte històric dels controls d'exportació criptogràfica; feble per disseny. Els atacs FREAK i Logjam del 2015 van explotar navegadors que encara negocien suites de qualitat EXPORT per a la compatibilitat. Els servidors principals els van eliminar després; alguns llocs de cua llarga encara els tenien anys més tard. Comprovació del suport de xifratge del servidor Tools: SSL Labs SSL Server Test (ssllabs.com) — anàlisi completa de TLS d'un lloc públic configuration. testssl.sh — escàner de la línia d'ordres. nmap --script ssl-enum-ciphers — enumeració ràpida. XPLZPLZ45 per a diverses marques proves manuals. Per al vostre propi servidor, executeu-les periòdicament; les configuracions es desplacen amb el temps a mesura que els paquets s'actualitzen.

`Preguntes freqüents`

M'he de preocupar per les suites de xifrat com a usuari?: Els navegadors moderns gestionen la negociació. La suite de xifratge escollida es mostra quan feu clic al cadenat i inspeccioneu el certificat. Per a la majoria dels usuaris, està darrere de les escenes.
Per què TLS 1.3 té tan poques suites de xifratge?: Els centenars de combinacions de TLS 1.2 van facilitar les configuracions incorrectes vulnerables. TLS 1.3 es va reduir deliberadament a un petit conjunt de combinacions ben enteses, totes amb secret directe i xifratge autenticat.
Quina diferència hi ha entre AES-128-GCM i AES-256-GCM?: Longitud de la clau. L'AES de 128 bits és ràpid i es considera segur indefinidament contra els adversaris clàssics; 256 bits ofereix marge contra futurs avenços criptogràfics i contra adversaris conscients de la quàntica. Tots dos estan bé per a l'ús actual.
Quan he d'utilitzar ChaCha20-Poly1305 vs AES-GCM?: ChaCha20 és més ràpid en maquinari sense acceleració AES-NI (mòbil més antic, IoT). AES-GCM és més ràpid en maquinari modern amb AES-NI. Els navegadors negocien el millor ajust; els servidors haurien d'oferir tots dos.
La suite de xifratge afecta el rendiment?: Modestament. L'AES-GCM accelerat per maquinari és essencialment gratuït a les CPU modernes. La sobrecàrrega de la connexió de mans (intercanvi de claus) domina sobre el xifratge massiu per a connexions curtes. Per a connexions de gran volum de vida llarga, l'elecció de xifrat massiu importa lleugerament.

TLS 1.3 simplificació

Què significa cada peça

Què s'elimina i per què

Comprovació del suport de xifratge del servidor

Preguntes freqüents

`Què significa cada peça`

`Preguntes freqüents`