Skip To Content

Limitare i protocolli TLS e le suite di cifratura

Gli amministratori del portale possono specificare i protocolli TLS (Transport Layer Security) e gli algoritmi di crittografia utilizzati dal server Web interno del portale per proteggere le comunicazioni. Potrebbe essere richiesto all'organizzazione di utilizzare protocolli TLS e algoritmi di crittografia specifici. Specificando che il portale utilizza protocolli e algoritmi certificati si garantisce la conformità del portale con i criteri di sicurezza dell'organizzazione.

Protocolli TLS predefiniti

Per impostazione predefinita, il portale è configurato soltanto per l’uso di protocolli TLSv1.3 e TLSv1.2. È possibile abilitare anche i protocolli TLSv1 e TLSv1.1 utilizzando la procedura seguente.

Algoritmi di crittografia predefiniti

Per impostazione predefinita, il portale è configurato per l'uso dei seguenti algoritmi di crittografia nell'ordine indicato di seguito.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_AES_256_GCM_SHA384 (TLSv1.3 esclusivamente)
  • TLS_AES_128_GCM_SHA256 (TLSv1.3 esclusivamente)

Per motivi di sicurezza, alcuni algoritmi di crittografia abilitati per impostazione predefinita nelle versioni precedenti sono stati disabilitati. Questi possono essere riattivati se necessario per i vecchi clienti. L'elenco completo degli algoritmi supportati, consultare il riferimento suite di cifratura sottostante.

Usare la directory di ArcGIS Portal per specificare i protocolli TLS e gli algoritmi di crittografia che il portale utilizzerà.

  1. Aprire la directory di Portal for ArcGIS e accedere come amministratore dell'organizzazione.

    Il formato dell'URL è https://webadaptorhost.domain.com/webadaptorname/portaladmin.

  2. Fare clic su Sicurezza > Certificati SSL > Aggiorna.
  3. Nella casella di testo Protocolli SSL, specificare i protocolli da utilizzare. Se si specificano più protocolli, separare ogni protocolli con una virgola, per esempio, TLSv1.2, TLSv1.1.
    Nota:

    Accertarsi che il server Web che ospita il Web Adaptor sia configurato per l’uso dei protocolli abilitati. Se si utilizza un Web Adaptor Java, il server Web che ospita il Web Adaptor deve utilizzare Java 8.

  4. Nella casella di testo Suite di cifratura, specificare gli algoritmi di crittografia da utilizzare. Se si specificano più algoritmi, separare ogni algoritmo con una virgola, per esempio TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA.
  5. Fare clic su Aggiorna.

    Se si specifica un protocollo o una suite di cifratura non valida, viene restituito un errore.

Riferimento suite di cifratura

Il portale supporta i seguenti algoritmi:

ID cifraturaNomeScambio chiaveAlgoritmo di autenticazioneAlgoritmo di crittografiaBitAlgoritmo di Hashing
0x00C030TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384ECDHRSAAES_256_GCM256SHA384
0x00C028 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384ECDHRSA AES_256_CBC256 SHA384
0x00C014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDHRSA AES_256_CBC256SHA
0x00009F TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 DHRSA AES_256_GCM256 SHA384
0x00006B TLS_DHE_RSA_WITH_AES_256_CBC_SHA256DHRSA AES_256_CBC256 SHA256
0x000039 TLS_DHE_RSA_WITH_AES_256_CBC_SHADHRSA AES_256_CBC256SHA
0x00009D TLS_RSA_WITH_AES_256_GCM_SHA384RSARSA AES_256_GCM256 SHA384
0x00003D TLS_RSA_WITH_AES_256_CBC_SHA256RSARSA AES_256_CBC256SHA256
0x000035 TLS_RSA_WITH_AES_256_CBC_SHARSARSA AES_256_CBC256SHA
0x00C02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDHRSA AES_128_GCM128SHA256
0x00C027 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDHRSA AES_128_CBC128SHA256
0x00C013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHAECDHRSA AES_128_CBC128SHA
0x00009E TLS_DHE_RSA_WITH_AES_128_GCM_SHA256DHRSA AES_128_GCM128SHA256
0x000067 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256DHRSA AES_128_CBC128SHA256
0x000033 TLS_DHE_RSA_WITH_AES_128_CBC_SHADHRSA AES_128_CBC128SHA
0x00009C TLS_RSA_WITH_AES_128_GCM_SHA256RSARSA AES_128_GCM128SHA256
0x00003C TLS_RSA_WITH_AES_128_CBC_SHA256RSARSA AES_128_CBC128SHA256
0x00002F TLS_RSA_WITH_AES_128_CBC_SHARSARSA AES_128_CBC128SHA
0x00C012 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA ECDHRSA 3DES_EDE_CBC168SHA
0x000016 SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHADHRSA 3DES_EDE_CBC168SHA
0x00000A SSL_RSA_WITH_3DES_EDE_CBC_SHARSARSA 3DES_EDE_CBC168SHA
0x00C02CTLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384ECDHECDSAAES_256_GCM256SHA384
0x00C024TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384ECDHECDSAAES_256_CBC256SHA384
0x00C00ATLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHAECDHECDSAAES_256_CBC256SHA
0x00C02BTLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256ECDHECDSAAES_128_GCM128SHA256
0x00C023TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256ECDHECDSAAES_128_CBC128SHA256
0x00C009TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHAECDHECDSAAES_128_CBC128SHA
0x00C008TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHAECDHECDSA3DES_EDE_CBC168SHA
0x1302 TLS_AES_256_GCM_SHA384-- AES_256_GCM256SHA384
0x1301 TLS_AES_128_GCM_SHA256-- AES_128_GCM128SHA256

Terminologia

I seguenti termini sono utilizzati nella tabella di cui sopra:

  • ECDH—Elliptic-Curve Diffie-Hellman
  • DH—Diffie-Hellman
  • RSA—Rivest, Shamir, Adleman
  • ECDSA— Elliptic Curve Digital Signature Algorithm
  • AES—Advanced Encryption Standard
  • GCM—Galois/Counter Mode, un modo di funzionamento per cifrature blocco crittografiche
  • CBC—Cipher Block Chaining
  • 3DES—Triple Data Encryption Algorithm
  • SHA—Secure Hashing Algorithm