A ordem dos nomes de cifras em TIdServerIOHandlerSSLOpenSSL.SSLOptions.CipherList é importante?

Question

Apr 01, 2016, 12:21 PM

A ordem dos nomes de cifras em TIdServerIOHandlerSSLOpenSSL.SSLOptions.CipherList é importante?

Estou limitando as cifras que meu serviço da Web permite apenas essas cifras do TLS 1.x:

TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA
TLS_RSA_WITH_IDEA_CBC_SHA
TLS_RSA_WITH_RC4_128_MD5
TLS_RSA_WITH_RC4_128_SHA

Atualizar em resposta aDave ThompsonComentário de:

Agora eu pego as cifras geradas a partir deesta resposta SO, naquela ordem.
Como atualmente usamos o Delphi XE2 / Indy 10.5.8.0/OpenSSL 1.0.2f, deixo de fora as cifras do ECDHE, estas sãomuito complicado de implementar com essas versões de software.
Além disso, ainda permitimos o TLS 1.0.
Após a atualização para o Delphi Seattle 10, proibiremos o TLS 1.0 e colocaremos as cifras do ECDHE novamente.

Isso deixa:

TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (0xcc15)
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (0x9f)
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x9e)
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (0x6b)
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (0x67)
TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA256 (0xc4)
TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x39)
TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x33)
TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (0x88)
TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (0x45)

Convertido em nomes OpenSSL (de acordo comMapeando nomes de conjuntos de cifras OpenSSL para nomes RFC) esses são:

DHE-RSA-CHACHA20-POLY1305 
DHE-RSA-AES256-GCM-SHA384 
DHE-RSA-AES128-GCM-SHA256 
DHE-RSA-AES256-SHA256 
DHE-RSA-AES128-SHA256 
- cannot find the equivalent for 0xc4 - anyone? -
DHE-RSA-AES256-SHA
DHE-RSA-AES128-SHA 
DHE-RSA-CAMELLIA256-SHA 
DHE-RSA-CAMELLIA128-SHA256

A ordem em que um servidor oferece cifras é importante, mas eu tenho controle sobre esse pedido? O CipherList é uma propriedade de sequência que contém esses nomes concatenados com '+':

TIdServerIOHandlerSSLOpenSSL.SSLOptions.CipherList := 'DHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SH:DHE-RSA-AES128-SHA:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-CAMELLIA128-SHA256';

Em caso afirmativo, qual é o pedido recomendado?

Observe que, como meu serviço da web é o servidor, eu configureiSSLOptions.Mode := sslmServer.

* Estes são os que onmap roteirocifras ssl-enum notas com um 'A'