TLS policy

La pagina TLS policy controlla come i singoli servizi configurano il protocollo TLS (Transport Layer Security), selezionando un identificativo di policy.

Se non diversamente specificato, le impostazioni TLS delle policy sono sempre cumulative: le nuove policy estendono quelle più vecchie.

Ogni implementazione di modulo decide come implementare uno specifico identificatore di policy, fornendo un compromesso tra sicurezza e compatibilità con il client. Le politiche più recenti sono più orientate alla sicurezza, mentre quelle più vecchie offrono una migliore compatibilità con i vecchi client.

Le seguenti sezioni descrivono ciascun identificatore di policy.

Policy 2020-05-10

Questo criterio disabilita le versioni 1.0 e 1.1 del protocollo TLS. Si applica al seguenti servizi:

• Apache (httpd, httpd-admin)

• Ejabberd

• Cockpit

• Slapd (openldap-servers)

• Postfix

• Dovecot

Riferimento: https://access.redhat.com/articles/1462183

Policy 2018-10-01

Questo criterio limita le impostazioni TLS della configurazione predefinita di Ejabberd. Si applica solo a Ejabberd versione 18 e successivi.

Ejabberd (XMPP)

• Vedi https://bettercrypto.org/

• Disabilitati SSLv3 e TLSv1.0

• Priorità di cifratura del server

• Certificato ECC

• Cifrari supportati:

  ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
  

Policy 2018-06-21

Questa policy estende la 2018-03-30 aggiungendo il supporto per i certificati ECC a

• Apache

• Dovecot

• Postfix

Slapd (openldap-servers)

• Riferimento https://access.redhat.com/articles/1474813

• Disabilitati SSLv3 e TLSv1.0

• Cipher suite

  ECDHE:EDH:CAMELLIA:ECDH:RSA:ECDSA:!eNULL:!SSLv2:!RC4:!DES:!EXP:!SEED:!IDEA:!3DES:!ADH
  

Policy 2018-03-30

L'obiettivo di questa politica è di rafforzare il set di cifratura di default fornito da upstream . Non è compatibile con IE 8 XP e Java 6u45 e 7u25 client. Non supporta i certificati ECC.

Apache

• Vedi https://bettercrypto.org/

• Cipher suite

  EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
  

• Disabilita SSLv2 e SSLv3

• Ignora le impostazioni di httpd/SSLCipherSuite (vedi Politica upstream predefinita)

Dovecot

• Vedi https://bettercrypto.org/

• Cipher suite

  EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
  

• Disabilita SSLv2 e SSLv3

Postfix

• Vedi https://bettercrypto.org/

• Utilizza TLS per le connessioni in uscita, se il server remoto lo supporta

• Disabilita SSLv2 e SSLv3 sulle porte di submission

• Cipher suite

  EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA256:EECDH:+CAMELLIA128:+AES128:+SSLv3:kEDH:CAMELLIA128-SHA:AES128-SHA
  

• Exclude ciphers

  aNULL:eNULL:LOW:3DES:MD5:EXP:PSK:DSS:RC4:SEED:IDEA:ECDSA
  

Politica upstream predefinita

L'obiettivo di questa policy è mantenere le impostazioni upstream. Questo è l'obiettivo principale dall'avvento di NethServer Enterprise 7.

Questa politica consente di personalizzare httpd (Apache) con una determinata lista di cifrature, eseguendo i seguenti comandi:

config setprop httpd SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
signal-event nethserver-httpd-update