<div dir="ltr">Hi,<br><br>may I suggest to write a policy how to setup the cipher string and the order of its ciphers.<br>From the most important to the less important rule (e.g. like from Perfect Secrecy ... Bit len of the Hash).<br>
<br>I see, that it may take a while to change chipher strings, if you maintain a lot of systems. So I'd prefer to include reliable ciphers that are planned for future use, even if they are not or rarely supported by browsers today (e.g. TLS_DHE_RSA_WITH_AES_256_GCM_SHA384).<br>
<br>Perhaps it could be an idea to have a 'CipherString C' for latency Servers. Perhaps there you could place ECDHE with higher priority than DHE, and AES-256 higher than AES-128.<br><br>... only my 2 cents...<br>
<br>Kind regards<br>Torsten<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">2014-06-04 15:24 GMT+02:00 Aaron Zauner <span dir="ltr"><<a href="mailto:azet@azet.org" target="_blank">azet@azet.org</a>></span>:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Philip,<br>
<br>
Philipp Gühring wrote:<br>
> Hi,<br>
><br>
> I dont't mind dropping *256, but I currently believe that SHA384 is the<br>
> only secure hash in the SHA2 family, all other hashes leak their<br>
> complete internal state. Length-Extension-Attack...<br>
> From security point of view, I would drop SHA2-256 and SHA2-512, and<br>
> promote SHA2-384.<br>
> But I do not know what that means interoperability-wise.<br>
<br>
There is no support for SHA384 with 128 bit symmetric ciphers in TLS:<br>
<a href="https://www.iana.org/assignments/tls-parameters/tls-parameters.xhtml" target="_blank">https://www.iana.org/assignments/tls-parameters/tls-parameters.xhtml</a><br>
<br>
So,.. keeping them is completely useless if we drop *256.<br>
<span class="HOEnZb"><font color="#888888"><br>
<br>
Aaron<br>
<br>
<br>
</font></span><br>_______________________________________________<br>
Ach mailing list<br>
<a href="mailto:Ach@lists.cert.at">Ach@lists.cert.at</a><br>
<a href="http://lists.cert.at/cgi-bin/mailman/listinfo/ach" target="_blank">http://lists.cert.at/cgi-bin/mailman/listinfo/ach</a><br>
<br></blockquote></div><br></div>