HTTPS, TLS: Porovnání verzí
Řádek 96: Řádek 96:
 
* PKCS#5 (včetně PBKDF1)
 
* PKCS#5 (včetně PBKDF1)
 
* PKCS#8
 
* PKCS#8
 +
* PKCS#12
  
 
Pozn. OCSP ani CRL není v SDS aktivováno.
 
Pozn. OCSP ani CRL není v SDS aktivováno.

Verze z 8. 5. 2023, 10:07

HTTPS, TLS

SDS moduly řady 512 poskytují, je-li instalován správný firmware, komunikaci zabezpečeným šifrovaným protokolem TLS - což umožňuje provozovat HTTPS.

Prakticky se jedná o všechny typy modulů STSW-512 a zařízení BIG-512 a BIG2-512, se specifickým nainstalovaným firmware.

HTTPS je zabezpečený protokol HTTP, respektive se jedná o HTTP protokol přenášený přes zabezpečený tunel (TLS). Tím je zajištěno, že běžný útočník nemůže odposlouchávat komunikaci a nebo do ní vstupovat.


Implementované verze protokolu TLS

SDS podporuje protokol TLS 1.2 a protokol TLS 1.3 - volba protokolu je vyjednána s protistranou (klient, např. webový prohlížeč) vždy při každém novém spojení. SDS preferuje vždy tu nejvíce bezpečnou variantu, z nabízených možností.

Starší protokoly, jako je TLS 1.1 nebo SSL atd. - jsou záměrně v SDS zakázány, protože jsou dnes nahrazeny právě uvedenými novými verzemi TLS. Pokud budete potřebovat, pro váš specifický systém, starší verzi, kontaktujte výrobce pro speciální variantu (ale musíte to dobře zdůvodnit).

SDS podporuje tyto algoritmy:

  • RSA (1024 bitů a více)
  • ECC (192 bitů a více) - NIST 192, 224, 256, 384, 512
  • ECDHE + X25519
  • EdDSA ED25519
  • AES-128, AES-256
  • CHACHA20 POLY1305 (RFC 7593)
  • 3DES
  • SHA256, SHA384, SHA512, HKDF
  • SHA1 pouze pro certifikáty
  • MD5/SHA1 a MD5/HMAC pouze pro certifikáty

Pro TLS 1.3 podporuje SDS tyto kombinace:

  • TLS_AES_128_GCM_SHA256
  • TLS_AES_256_GCM_SHA384
  • TLS_CHACHA20_POLY1305_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS 1.3 v SDS podporuje funkci Session Resumption.

Pro TLS 1.2 podporuje SDS tyto kombinace:

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • aktuálně vypnutá kombinace (v budoucnu možno zapnout): ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 dle RFC7905
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • aktuálně vypnutá kombinace (v budoucnu možno zapnout): TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 dle RFC7905
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384

Kombinace využívající PSK (Pre Shared Key) nejsou v SDS aktivovány (dle NIST SP 800-52 Rev1).

Server nevyužívá (a nemá aktivovánu) funkci ReHandshaking (RFC5748), zejména z důvodu nasazení TLS 1.3.

V případě, že se váš klient nebude umět spojit se TLS serverem v SDS, zkontrolujte, zda-li váš klient podporuje alespoň jeden z výše uvedených kombinací algoritmů !


Certifikát pro SERVER

SDS se chová jako webový SERVER, poskytující HTTPS. Vy jako uživatel SDS si do něj musíte vložit svůj serverový certifikát a klíč. Zde bude uveden kompletní návod.

Typicky získáte certifikát pro server v rámci své firemní / organizační PKI struktury. Pokud ji nemáte, můžete použít vlastní CA (návod na vytvoření bude zde) nebo, v nouzi největší, jen self-signed certifikát.

Server v SDS neprovádí Mutual Authentication, ovšem na zakázku je to možné aktivovat - běžný firmware to nemá k dispozici. Potřebujete to jen v případě nejvíce přísných požadavků na bezpečnost, a potom už přesně víte o co jde a proč to chcete.


  • Formát souboru s certifikátem: PEM
  • Formát souboru s private klíčem: PEM

SDS akceptuje (jako serverový certifikát) i certifikáty V1 (zastaralé).

SDS pro certifikáty X509 podporuje všechna konfigurační pole dle RFC5280. Pokud váš certifikát obsahuje další doplňující (EXTRA DN) položky, SDS je ignoruje.

SDS podporuje tyto formáty certifikátů:

  • PKCS#1 (včetně OAEP, PSS)
  • PKCS#5 (včetně PBKDF1)
  • PKCS#8
  • PKCS#12

Pozn. OCSP ani CRL není v SDS aktivováno.


Server v SDS

Server poskytuje současně jak komunikaci přes HTTP (typicky TCP port 80) tak současně komunikaci přes HTTPS (typicky TCP port 443). V rámci administrace zařízení můžete následně HTTP vypnout, a ponechat jen HTTPS.


Informace

Stránka je ve výstavbě.

Citováno z „https://wiki.merenienergie.cz/subdom/wiki/index.php?title=HTTPS,_TLS&oldid=858