Skip To Content

Restringir protocolos de SSL e séries de codificação

Como um administrador do portal, você pode especificar quais protocolos e algoritmos de criptografia da camada de soquetes segura (SSL) o servidor da web interna do portal utiliza para comunicação segura. Por exemplo, sua organização pode ser exigida a utilizar protocolos de SSL e algoritmos de criptografia específicos. Especificar que o portal utiliza os protocolos e algoritmos certificados assegura que seu portal permanece conformidade com as políticas de segurança da sua organização.

Protocolos de SSL padrões

Por padrão, o portal habilita os protocolos seguintes:

  • TLSv1
  • TLSv1.1
  • TLSv1.2

Os algoritmos de criptografia padrões

O portal é configurado por padrão para utilizar os algoritmos de criptografia seguintes na ordem listada abaixo:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA

Para razões de segurança, diversos algoritmos de criptografia que foram habilitados por padrão em versões anteriores foram agora desativados. Estes podem ainda estar habilitados se necessários para clientes mais antigos. Consulte Referência de séries de codificação abaixo para mais informações sobre a lista completa de algoritmos suportados.

Você utilizará o ArcGIS Portal Directory para especificar quais protocolos de SSL e algoritmos de criptografia o portal utilizará.

  1. Abra o ArcGIS Portal Directory, e entre como um Administrador da sua organização. A URL está no formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. Clique em Segurança > Certificados SSL > Atualizar.
  3. Na caixa de texto Protocols de SSL, especifique os protocolos a serem utilizados. Se especificar protocolos múltiplos, separe cada protocolo com uma vírgula. Por exemplo: TLSv1.2, TLSv1.1.

    Note que se você estiver planejando desativar o TLSv1 do portal, você precisa assegurar que o servidor da web que hospeda o Web Adaptor esteja completamente capaz de comunicar em TLSv1.1 ou TLSv1.2. Se você estiver utilizando um Java Web Adaptor, o servidor da web que hospeda o Web Adaptor deve utilizar Java 8.

  4. Na caixa de texto Séries de Codificação, especifique os algoritmos de criptografia a serem utilizados. Se especificar algoritmos múltiplos, separe cada algoritmo com uma vírgula. Por exemplo: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA.
  5. Clique em Atualizar. Um erro é retornado se um protocolo inválido ou série de codificação for especificada.

Referência de séries de codificação

Cipher IDNomeIntercâmbio de chavesAlgoritmo de autenticaçãoAlgoritmo de criptografiaBitsAlgoritmo de hashing
0x00C030TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384ECDHRSAAES_256_GCM256SHA384
0x00C028 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384ECDHRSA AES_256_CBC256 SHA384
0x00C014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDHRSA AES_256_CBC256SHA
0x00009F TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 DHRSA AES_256_GCM256 SHA384
0x00006B TLS_DHE_RSA_WITH_AES_256_CBC_SHA256DHRSA AES_256_CBC256 SHA256
0x000039 TLS_DHE_RSA_WITH_AES_256_CBC_SHADHRSA AES_256_CBC256SHA
0x00009D TLS_RSA_WITH_AES_256_GCM_SHA384RSARSA AES_256_GCM256 SHA384
0x00003D TLS_RSA_WITH_AES_256_CBC_SHA256RSARSA AES_256_CBC256SHA256
0x000035 TLS_RSA_WITH_AES_256_CBC_SHARSARSA AES_256_CBC256SHA
0x00C02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDHRSA AES_128_GCM128SHA256
0x00C027 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDHRSA AES_128_CBC128SHA256
0x00C013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHAECDHRSA AES_128_CBC128SHA
0x00009E TLS_DHE_RSA_WITH_AES_128_GCM_SHA256DHRSA AES_128_GCM128SHA256
0x000067 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256DHRSA AES_128_CBC128SHA256
0x000033 TLS_DHE_RSA_WITH_AES_128_CBC_SHADHRSA AES_128_CBC128SHA
0x00009C TLS_RSA_WITH_AES_128_GCM_SHA256RSARSA AES_128_GCM128SHA256
0x00003C TLS_RSA_WITH_AES_128_CBC_SHA256RSARSA AES_128_CBC128SHA256
0x00002F TLS_RSA_WITH_AES_128_CBC_SHARSARSA AES_128_CBC128SHA
0x00C012 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA ECDHRSA 3DES_EDE_CBC168SHA
0x000016 SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHADHRSA 3DES_EDE_CBC168SHA
0x00000A SSL_RSA_WITH_3DES_EDE_CBC_SHARSARSA 3DES_EDE_CBC168SHA
0x00C02CTLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384ECDHECDSAAES_256_GCM256SHA384
0x00C024TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384ECDHECDSAAES_256_CBC256SHA384
0x00C00ATLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHAECDHECDSAAES_256_CBC256SHA
0x00C02BTLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256ECDHECDSAAES_128_GCM128SHA256
0x00C023TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256ECDHECDSAAES_128_CBC128SHA256
0x00C009TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHAECDHECDSAAES_128_CBC128SHA
0x00C008TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHAECDHECDSA3DES_EDE_CBC168SHA

Terminologia

  • ECDH—Elliptic-Curve Diffie-Hellman
  • DH—Diffie-Hellman
  • RSA—Rivest, Shamir, Adleman
  • ECDSA— Elliptic Curve Digital Signature Algorithm
  • AES—Padrão de Criptografia Avançado
  • GCM—Galois/Modo de Contador - um modo de operação para codificação de bloqueio de criptografia
  • CBC—Encadeamento de Bloqueio de Codificação
  • 3DES—Algoritmo de Criptografia de Dados Triplos
  • SHA—Algoritmo de Hashing Seguro