Skip To Content

Ograniczanie protokołów TLS i pakietów szyfrujących

Jako administrator instytucji możesz zdefiniować protokoły TLS (Transport Layer Security) i algorytmy szyfrowania, które są używane przez wewnętrzny serwer internetowy portalu w celu zabezpieczenia komunikacji. Instytucja może wymagać użycia konkretnych protokołów TLS i algorytmów szyfrowania. Zdefiniowanie użycia przez portal certyfikowanych protokołów i algorytmów zapewnia zgodność portalu z zasadami zabezpieczeń instytucji.

Domyślne protokoły TLS

Domyślnie portal jest skonfigurowany do użycia protokołów TLSv1.3 i TLSv1.2. Można również włączyć protokoły TLSv1 i TLSv1.1, wykonując poniższe czynności.

Korzystanie z domyślnych algorytmów szyfrowania

Portal jest domyślnie skonfigurowany do użycia następujących algorytmów szyfrowania w kolejności podanej poniżej:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_AES_256_GCM_SHA384 (tylko TLSv1.3)
  • TLS_AES_128_GCM_SHA256 (tylko TLSv1.3)

Ze względów bezpieczeństwa kilka algorytmów szyfrowania, które były domyślnie włączone w poprzednich wersjach, zostało wyłączonych. Można je włączyć, jeśli jest to wymagane przez starsze aplikacje klienckie. Poniższa sekcja Informacje o pakietach szyfrujących zawiera pełną listę obsługiwanych algorytmów.

W celu zdefiniowania protokołów TLS i algorytmów szyfrowania, które są używane przez portal, należy skorzystać z aplikacji Portal Administrator Directory.

  1. Otwórz aplikację Portal Administrator Directory i zaloguj się jako administrator instytucji.

    Adres URL ma format https://webadaptorhost.domain.com/webadaptorname/portaladmin.

  2. Kliknij opcję Zabezpieczenia > Certyfikaty SSL > Aktualizuj.
  3. W polu tekstowym Protokoły SSL podaj protokoły, które mają być używane. Jeśli podajesz wiele protokołów, rozdziel je przecinkami, na przykład TLSv1.2, TLSv1.1.
    Notatka:

    Upewnij się, że serwer internetowy, który hostuje aplikację Web Adaptor, został skonfigurowany do użycia włączanych protokołów. Jeśli używasz aplikacji Java Web Adaptor, hostujący ją serwer internetowy musi używać języka Java 8.

  4. W polu tekstowym Pakiety szyfrujące podaj algorytmy szyfrowania, które mają być używane. Jeśli podajesz wiele algorytmów, rozdziel je przecinkami, na przykład TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA.
  5. Kliknij przycisk Update (Aktualizuj).

    Jeśli podasz nieprawidłowy protokół lub pakiet szyfrujący, zostanie zwrócony błąd.

Informacje o pakietach szyfrujących

Portal obsługuje następujące algorytmy:

Identyfikator pakietu szyfrującegoNazwaWymiana kluczyAlgorytm uwierzytelnianiaAlgorytm szyfrowaniaBityAlgorytm tworzenia skrótów
0x00C030TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384ECDHRSAAES_256_GCM256SHA384
0x00C028 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384ECDHRSA AES_256_CBC256 SHA384
0x00C014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDHRSA AES_256_CBC256SHA
0x00009F TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 DHRSA AES_256_GCM256 SHA384
0x00006B TLS_DHE_RSA_WITH_AES_256_CBC_SHA256DHRSA AES_256_CBC256 SHA256
0x000039 TLS_DHE_RSA_WITH_AES_256_CBC_SHADHRSA AES_256_CBC256SHA
0x00009D TLS_RSA_WITH_AES_256_GCM_SHA384RSARSA AES_256_GCM256 SHA384
0x00003D TLS_RSA_WITH_AES_256_CBC_SHA256RSARSA AES_256_CBC256SHA256
0x000035 TLS_RSA_WITH_AES_256_CBC_SHARSARSA AES_256_CBC256SHA
0x00C02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDHRSA AES_128_GCM128SHA256
0x00C027 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDHRSA AES_128_CBC128SHA256
0x00C013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHAECDHRSA AES_128_CBC128SHA
0x00009E TLS_DHE_RSA_WITH_AES_128_GCM_SHA256DHRSA AES_128_GCM128SHA256
0x000067 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256DHRSA AES_128_CBC128SHA256
0x000033 TLS_DHE_RSA_WITH_AES_128_CBC_SHADHRSA AES_128_CBC128SHA
0x00009C TLS_RSA_WITH_AES_128_GCM_SHA256RSARSA AES_128_GCM128SHA256
0x00003C TLS_RSA_WITH_AES_128_CBC_SHA256RSARSA AES_128_CBC128SHA256
0x00002F TLS_RSA_WITH_AES_128_CBC_SHARSARSA AES_128_CBC128SHA
0x00C012 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA ECDHRSA 3DES_EDE_CBC168SHA
0x000016 SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHADHRSA 3DES_EDE_CBC168SHA
0x00000A SSL_RSA_WITH_3DES_EDE_CBC_SHARSARSA 3DES_EDE_CBC168SHA
0x00C02CTLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384ECDHECDSAAES_256_GCM256SHA384
0x00C024TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384ECDHECDSAAES_256_CBC256SHA384
0x00C00ATLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHAECDHECDSAAES_256_CBC256SHA
0x00C02BTLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256ECDHECDSAAES_128_GCM128SHA256
0x00C023TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256ECDHECDSAAES_128_CBC128SHA256
0x00C009TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHAECDHECDSAAES_128_CBC128SHA
0x00C008TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHAECDHECDSA3DES_EDE_CBC168SHA
0x1302 TLS_AES_256_GCM_SHA384-- AES_256_GCM256SHA384
0x1301 TLS_AES_128_GCM_SHA256-- AES_128_GCM128SHA256

Terminologia

W poniższej tabeli stosowane są następujące terminy:

  • ECDH — krzywa eliptyczna Diffiego-Hellmana
  • DH — algorytm Diffiego-Hellmana
  • RSA — algorytm Rivesta-Shamira-Adlemana
  • ECDSA — algorytm podpisu cyfrowego przy użyciu krzywej eliptycznej
  • AES — Advanced Encryption Standard
  • GCM — tryb Galois/Counter Mode, tryb pracy dla szyfrów bloków kryptograficznych
  • CBC — wiązanie bloków zaszyfrowanych
  • 3DES — algorytm Triple Data Encryption (3DES)
  • SHA — Secure Hashing Algorithm