Política de TLS

La página TLS policy controla cómo los servicios individuales configuran el protocolo de seguridad de la capa de transporte (TLS), seleccionando un identificador de política.

If not otherwise stated, the TLS settings of policies are always cumulative: newer policies extend older ones.

Cada implementación de módulo decide cómo implementar un identificador de política específico, ofreciendo una compensación entre la seguridad y la compatibilidad del cliente. Las políticas más recientes están sesgadas hacia la seguridad, mientras que las más antiguas ofrecen una mejor compatibilidad con los clientes antiguos.

Las siguientes secciones describen cada identificador de política.

Policy 2020-05-10

This policy disables the TLS protocol versions 1.0 and 1.1. It applies to the following services:

• Apache (httpd, httpd-admin)

• Ejabberd

• Cockpit

• Slapd (openldap-servers)

• Postfix

• Dovecot

Reference: https://access.redhat.com/articles/1462183

Policy 2018-10-01

This policy restricts the TLS settings of the default Ejabberd configuration. It applies only to Ejabberd version 18 and greater.

Ejabberd (XMPP)

• See https://bettercrypto.org/

• Disabled SSLv3 and TLSv1.0

• Cipher server priority

• ECC certificate

• Ciphers suite

  ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
  

Policy 2018-06-21

This policy extends 2018-03-30 by adding the support for ECC certificates to

• Apache

• Dovecot

• Postfix

Slapd (openldap-servers)

• Reference https://access.redhat.com/articles/1474813

• Disabled SSLv3 and TLSv1.0

• Suite de cifrado

  ECDHE:EDH:CAMELLIA:ECDH:RSA:ECDSA:!eNULL:!SSLv2:!RC4:!DES:!EXP:!SEED:!IDEA:!3DES:!ADH
  

Política 2018-03-30

The goal of this policy is to harden the cipher set provided by the default upstream policy. It is not compatible with IE 8 XP and Java 6u45 and 7u25 clients. It does not support ECC certificates.

Apache

• See https://bettercrypto.org/

• Suite de cifrado

  EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
  

• Deshabilitados SSLv2 y SSLv3

• Ignore httpd/SSLCipherSuite property settings (see Política de subida predeterminada)

Dovecot

• See https://bettercrypto.org/

• Suite de cifrado

  EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
  

• Deshabilitados SSLv2 y SSLv3

Postfix

• See https://bettercrypto.org/

• Use TLS en las conexiones de salida, si el servidor remoto lo admite

• Deshabilitar SSLv2 y SSLv3 en los puertos de envío

• Suite de cifrado

  EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA256:EECDH:+CAMELLIA128:+AES128:+SSLv3:kEDH:CAMELLIA128-SHA:AES128-SHA
  

• Excluir cifrados

  aNULL:eNULL:LOW:3DES:MD5:EXP:PSK:DSS:RC4:SEED:IDEA:ECDSA
  

Política de subida predeterminada

El objetivo de esta política es mantener la configuración del caudal de subida. Este es el objetivo original desde NethServer Enterprise 7.

This policy allows to customize httpd (Apache) with a given cipher list, by issuing the following commands:

config setprop httpd SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
signal-event nethserver-httpd-update