IBM Cloud Docs
Configuración de suites de cifrado

Configuración de suites de cifrado

Las suites de cifrado son una combinación de algoritmos y protocolos que ayudan a proteger las conexiones de red durante el reconocimiento TLS. IBM Cloud® Internet Services protege las conexiones de red utilizando suites de cifrado de origen y extremo.

Suites de cifrado de extremo

Los siguientes cifrados están soportados en el extremo de la nube. Puede restringir los cifrados que se utilizan para su dominio a través del plugin CIS CLI en IBM Cloud CLI. Consulte la opción ciphers en el mandato de valores de dominio.

Suites de cifrado de extremo
Nombre de OpenSSL TLS 1.0 TLS 1.1 TLS 1.2 TLS 1.3 Nombre IANA
ECDHE-ECDSA-AES128-GCM-SHA256 Disponible TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
ECDHE-ECDSA-CHACHA20-POLY1305 Disponible TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
ECDHE-RSA-AES128-GCM-SHA256 Disponible TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
ECDHE-RSA-CHACHA20-POLY1305 Disponible TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
ECDHE-ECDSA-AES128-SHA256 Disponible TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
ECDHE-ECDSA-AES128-SHA Disponible Disponible Disponible TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
ECDHE-RSA-AES128-SHA256 Disponible TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
ECDHE-RSA-AES128-SHA Disponible Disponible Disponible TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
AES128-GCM-SHA256 Disponible TLS_RSA_WITH_AES_128_GCM_SHA256
AES128-SHA256 Disponible TLS_RSA_WITH_AES_128_CBC_SHA256
AES128-SHA Disponible Disponible Disponible TLS_RSA_WITH_AES_128_CBC_SHA
ECDHE-ECDSA-AES256-GCM-SHA384 Disponible TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
ECDHE-ECDSA-AES256-SHA384 Disponible TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
ECDHE-RSA-AES256-GCM-SHA384 Disponible TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
ECDHE-RSA-AES256-SHA384 Disponible TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
ECDHE-RSA-AES256-SHA Disponible Disponible Disponible TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
AES256-GCM-SHA384 Disponible TLS_RSA_WITH_AES_256_GCM_SHA384
AES256-SHA256 Disponible TLS_RSA_WITH_AES_256_CBC_SHA256
AES256-SHA Disponible Disponible Disponible TLS_RSA_WITH_AES_256_CBC_SHA
DES-CBC3-SHA Disponible TLS_RSA_WITH_3DES_EDE_CBC_SHA
AEAD-AES128-GCM-SHA256 Disponible TLS_AES_128_GCM_SHA256
AEAD-AES256-GCM-SHA384 Disponible TLS_AES_256_GCM_SHA384
AEAD-CHACHA20-POLY1305-SHA256 Disponible TLS_CHACHA20_POLY1305_SHA256

Suites de cifrado de origen

Los siguientes cifrados reciben soporte en el origen. Puede restringir los cifrados que se utilizan para su dominio a través del plugin CIS CLI en IBM Cloud CLI. Consulte la opción ciphers en el mandato de valores de dominio.

Suites de cifrado de origen
Nombre de OpenSSL TLS 1.0 TLS 1.1 TLS 1.2 TLS 1.3 Nombre IANA
AEAD-AES128-GCM-SHA256 [1] Disponible TLS_AES_128_GCM_SHA256
AEAD-AES256-GCM-SHA384 [2] Disponible TLS_AES_256_GCM_SHA384
AEAD-CHACHA20-POLY1305-SHA256 [3] Disponible TLS_CHACHA20_POLY1305_SHA256
ECDHE-ECDSA-AES128-GCM-SHA256 Disponible TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
ECDHE-RSA-AES128-GCM-SHA256 Disponible TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
ECDHE-RSA-AES128-SHA Disponible Disponible Disponible TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
AES128-GCM-SHA256 Disponible TLS_RSA_WITH_AES_128_GCM_SHA256
AES128-SHA Disponible Disponible Disponible TLS_RSA_WITH_AES_128_CBC_SHA
ECDHE-ECDSA-AES256-GCM-SHA384 Disponible TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
ECDHE-RSA-AES256-SHA384 Disponible TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
AES256-SHA Disponible Disponible Disponible TLS_RSA_WITH_AES_256_CBC_SHA
DES-CBC3-SHA Disponible TLS_RSA_WITH_3DES_EDE_CBC_SHA

Gestión de suites de cifrado desde la CLI

Puede gestionar suites de cifrado desde la CLI.

Cómo trabajar con suites de cifrado Edge desde la CLI

  • En la CLI de ibmcloud cis domain-settings, establezca la variable siguiente:

    ciphers: Una lista de cifrados para la terminación TLS en el formato BoringSSL. Este mandato sólo lista los cifrados que están permitidos por los clientes. Si no se permite ningún cifrado, la lista estará vacía y se utilizarán los cifrados predeterminados. Consulte Suites de cifrado Edge para obtener la lista de cifrados predeterminados.

  • En la CLI de ibmcloud cis domain-settings-update, establezca la variable siguiente:

    ciphers: una lista de elementos permitidos de cifrados para la terminación TLS. Estos cifrados deben estar en el formato BoringSSL.

Gestión de suites de cifrado con la API

Puede gestionar suites de cifrado con la API.

Obtener claves con la API

Para obtener cifrados con la API, realice los pasos siguientes.

  1. Configure su entorno con las variables adecuadas.
  2. Almacena las variables que se utilizarán en los comandos de la API. Por ejemplo:
    • crn (string): El nombre completo del recurso en la nube ( URL ) codificado (CRN) de la instancia del recurso.
    • zone_identifier (serie): el identificador de zona.
  3. Cuando se inician todas las variables, obtener los cifrados:
curl -X GET https://api.cis.cloud.ibm.com/v1/:crn/zones/:zone_id/settings/ciphers -H 'content-type: application/json' -H 'accept: application/json' -H 'x-auth-user-token: Bearer xxxxxx'

Actualización de cifrados con la API

Para actualizar los cifrados con la API, realice los pasos siguientes.

  1. Configure su entorno con las variables adecuadas.
  2. Almacena las variables que se utilizarán en los comandos de la API. Por ejemplo:
    • crn (string): El nombre completo del recurso en la nube ( URL ) codificado (CRN) de la instancia del recurso.
    • zone_identifier (serie): el identificador de zona.
    • value(serie): las suites de cifrado que desea incluir.
  3. Cuando se inician todas las variables, obtener los cifrados:
curl -X PATCH https://api.cis.cloud.ibm.com/v1/:crn/zones/:zone_id/settings/ciphers -H 'content-type: application/json' -H 'x-auth-user-token: Bearer xxxxxx' -d '{"value": ["AES256-GCM-SHA384", "AES256-SHA256"]}'

  1. Aunque TLS 1.3 utiliza el mismo espacio de conjuntos de cifrado que las versiones anteriores de TLS, los conjuntos de cifrado de TLS 1.3 se definen de forma diferente, especificando únicamente los cifrados simétricos, y no pueden utilizarse para TLS 1.2. Del mismo modo, TLS 1.2 y suites de cifrado inferiores no pueden utilizarse con TLS 1.3 (IETF TLS 1.3 draft 21). BoringSSL también codifica las preferencias de cifrado en este orden para TLS 1.3. ↩︎

  2. Aunque TLS 1.3 utiliza el mismo espacio de conjuntos de cifrado que las versiones anteriores de TLS, los conjuntos de cifrado de TLS 1.3 se definen de forma diferente, especificando únicamente los cifrados simétricos, y no pueden utilizarse para TLS 1.2. Del mismo modo, TLS 1.2 y suites de cifrado inferiores no pueden utilizarse con TLS 1.3 (IETF TLS 1.3 draft 21). BoringSSL también codifica las preferencias de cifrado en este orden para TLS 1.3. ↩︎

  3. Aunque TLS 1.3 utiliza el mismo espacio de conjuntos de cifrado que las versiones anteriores de TLS, los conjuntos de cifrado de TLS 1.3 se definen de forma diferente, especificando únicamente los cifrados simétricos, y no pueden utilizarse para TLS 1.2. Del mismo modo, TLS 1.2 y suites de cifrado inferiores no pueden utilizarse con TLS 1.3 (IETF TLS 1.3 draft 21). BoringSSL también codifica las preferencias de cifrado en este orden para TLS 1.3. ↩︎