Intenta interpretar el código bien antes de adaptarlo a tu trabajo si tquieres aportar algo puedes comentarlo.
Solución:
Con respecto a su pregunta real, que se trata de la herramienta de prueba Qualys SSL Labs en sí, tendremos que profundizar en cómo funciona su sistema de calificación.
Afortunadamente, Qualys ha publicado su Guía de calificación de servidores SSL, que describe su metodología para calificar configuraciones SSL/TLS.
Como su pregunta es sobre por qué obtuvo una puntuación ligeramente más baja en la categoría Fuerza de cifrado con una de sus configuraciones propuestas sobre la otra, concentrémonos en esa categoría específicamente:
Fuerza de cifrado
Para romper una sesión de comunicación, un atacante puede intentar romper el cifrado simétrico utilizado para la mayor parte de la comunicación. Un cifrado más fuerte permite un cifrado más fuerte y, por lo tanto, aumenta el esfuerzo necesario para descifrarlo. Debido a que un servidor puede admitir cifrados de diferentes niveles, llegamos a un sistema de puntuación que penaliza el uso de cifrados débiles. Para calcular la puntuación de esta categoría, seguimos este algoritmo:
- Comience con la puntuación del cifrado más fuerte.
- Agregue la puntuación del cifrado más débil.
- Divide el total por 2.
Tabla 5. Guía de clasificación de la fuerza del cifrado
Cipher strength Score 0 bits (no encryption) 0% < 128 bits (e.g., 40,56) 20% < 256 bits (e.g., 128, 168) 80% >= 256 bits (e.g., 256) 100%
Mirando hacia atrás en los resultados más detallados incluidos en la pregunta, podemos ver que en la configuración de solo TLS1.2, estaba usando solo cifrados de 256 bits (aunque algunos de los conjuntos de cifrado estaban mal vistos), mientras que en el TLS1. 2+TLS1.3 config estaba usando una combinación de cifrados de 128 bits y 256 bits.
Según su sistema de calificación, esto explica por qué obtuvo una puntuación reducida en “Fuerza de cifrado”.
Ahora, esto destaca bastante que si bien esta herramienta es un recurso muy útil (particularmente para señalar malas configuraciones reales), no es una buena idea centrarse demasiado en la puntuación exacta, sino mirar el informe completo.
En cuanto a lo que en realidad es una configuración de TLS razonable, a menos que tenga una idea clara de lo que necesita, sugeriría consultar la guía de TLS del lado del servidor mantenida por los equipos de seguridad de las operaciones y seguridad de la información empresarial de Mozilla.
En particular, su configuración “Intermedia” logra un buen equilibrio entre amplia compatibilidad y seguridad, y hay un generador de configuración para servidores TLS populares para traducir convenientemente las configuraciones sugeridas a la configuración real del servidor.
Es posible a costa del cumplimiento de TLS1.3 al configurar OpenSSL para excluir algunos cifrados para el uso de TLS 1.3.
Escribí un breve tutorial aquí:
¡TLS TODAS LAS Cosas! detallando cómo lograrlo y habilitar el uso mínimo del equivalente de 112 bits para el resto del sistema operativo.
Aquí puede ver el resultado del ejemplo que se ejecuta aquí.
Tenga en cuenta el uso de cifrados CBC, normalmente también desea eliminarlos y solo ejecutar GCM. Sin embargo, debido a la cantidad de personas que lo visitan, puede correr ese riesgo en lugar de obligar a todos a ejecutar Evergreen. (¡Ve de hoja perenne!)
De todos modos, la parte que realmente te interesa es:
Conjuntos de cifrado = TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
Opciones = ServerPreference,PrioritizeChaCha
Al agregarlos a su configuración de OpenSSL, eliminará efectivamente los parámetros de 128 bits… Nginx seguirá haciendo la configuración de TLS 1.2, etc., ya que ese binario controla esas configuraciones en lugar de OpenSSL. ¡El resto de su sistema operativo que depende de la configuración en OpenSSL también los usará a partir de entonces! (muy recomendado)
Comentarios y puntuaciones
Más adelante puedes encontrar las críticas de otros creadores, tú igualmente tienes el poder insertar el tuyo si te gusta.