Cipher Suites

Brugen af SSL går ud over at installere SSL-certifikatet, men serverindstillingerne er også vigtige. En vigtig del af disse serverindstillinger er cipher suites.

Hvad er en cipher suite?

En cipher suite er en metode, der bruges til at oprette en krypteret forbindelse i henhold til TLS-protokollen. TLS-protokollen fungerer i overensstemmelse med en fast kombination af forskellige algoritmer, der bruges til krypteret trafik mellem server og bruger. En algoritme er en række instruktioner til udførelse af en beregning, hvor indgangen har en vis output efter et bestemt antal trin.

En cipher suite bestemmer, hvordan trafikken mellem en server og en klient krypteres og behandles. En cipher suite indeholder.

en nøgleudvekslingsalgoritme, der registrerer, hvordan godkendelsen finder sted under SSL handshake, for eksempel ECDHE_RSA.
en krypteringsalgoritme, der bestemmer, hvordan den udvekslede trafik er krypteret, for eksempel AES_128_GCM.
en algoritme til fremstilling af kryptografiske hash af (blokke af) de udvekslede data, for eksempel SHA-256.

SSL/TLS-protokollen har flere cipher suites til at oprette en krypteret forbindelse. Hvis en browser (klient) ønsker at oprette en krypteret forbindelse med en server, spørger browseren serveren, hvilke cipher suites er tilgængelige. Når cipher suites er kendt, bruger en browser automatisk den stærkeste cipher suite. En række af disse cipher suites er nu fundet svage og usikre. Selv om de svage cipher suites ikke længere anbefales, er de ofte stadig til stede på mange servere og klienter. Dette gør det muligt at omdirigere og aflytte trafik. Det er derfor vigtigt at deaktivere usikre cipher suites på din server. Nye sårbarheder kommer jævnligt op. For at sikre trafikken mellem serveren og browseren er det klogt regelmæssigt at kontrollere, hvilke cipher suites der stadig er sikre. Dette kan f.eks. ske via SSLLabs.