6.4.4. Segurança
As cifras doNSS
SEED são depreciadas
A biblioteca do Mozilla Network Security Services(NSS
) não suportará os conjuntos de cifras TLS que usam uma cifra SEED em um lançamento futuro. Para garantir uma transição suave das implementações que dependem das cifras SEED quando o NSS remover o suporte, a Red Hat recomenda habilitar o suporte para outras suítes de cifras.
Observe que as cifras SEED já estão desabilitadas por padrão na RHEL.
TLS 1.0 e TLS 1.1 são depreciados
Os protocolos TLS 1.0 e TLS 1.1 estão desabilitados no nível da política criptográfica do sistema DEFAULT
. Se seu cenário, por exemplo, uma aplicação de videoconferência no navegador Firefox, exigir o uso dos protocolos depreciados, mude a política criptográfica de todo o sistema para o nível LEGACY
:
# update-crypto-policies --set LEGACY
Para mais informações, veja o artigo da base de conhecimento Strong crypto defaults no RHEL 8 e a depreciação de algoritmos criptográficos fracos no Portal do Cliente da Red Hat e a página man update-crypto-policies(8)
.
A DSA é depreciada no RHEL 8
O Algoritmo de Assinatura Digital (DSA) é considerado depreciado no Red Hat Enterprise Linux 8. Os mecanismos de autenticação que dependem das chaves DSA não funcionam na configuração default. Note que os clientes OpenSSH
não aceitam chaves de host DSA mesmo no nível da política criptográfica do sistema LEGACY
.
(BZ#1646541)
SSL2
Cliente Olá
foi depreciado no NSS
A versão 1.2 e anterior do protocolo Transport Layer Security(TLS
) permite iniciar uma negociação com um Cliente
Mensagem de Alô
formatada de forma retrocompatível com o protocolo Secure Sockets Layer(SSL
) versão 2. O suporte a este recurso na biblioteca de Serviços de Segurança de Rede(NSS
) foi depreciado e está desativado por padrão.
As aplicações que requerem suporte para este recurso precisam usar a nova API SSL_ENABLE_V2_COMPATIBLE_HELLO
API para habilitá-la. O suporte para este recurso pode ser removido completamente em futuros lançamentos do Red Hat Enterprise Linux 8.
(BZ#1645153)
TPM 1.2 é depreciado
A versão padrão do processador criptográfico seguro Trusted Platform Module (TPM) foi atualizada para a versão 2.0 em 2016. O TPM 2.0 oferece muitas melhorias em relação ao TPM 1.2, e não é retrocompatível com a versão anterior. O TPM 1.2 é depreciado no RHEL 8, e pode ser removido no próximo grande lançamento.
(BZ#1657927)