10.3. Seguridad

Los cifradosNSS SEED están obsoletos

La librería Mozilla Network Security Services(NSS) no soportará suites de cifrado TLS que usen un cifrado SEED en una futura versión. Para las implementaciones que dependen de los cifrados SEED, Red Hat recomienda habilitar el soporte para otros conjuntos de cifrado. De esta forma, se asegura una transición suave cuando NSS elimine el soporte para ellos.

Tenga en cuenta que los cifrados SEED ya están desactivados por defecto en RHEL.

(BZ#1817533)

TLS 1.0 y TLS 1.1 están obsoletos

Los protocolos TLS 1.0 y TLS 1.1 están desactivados en el nivel de política criptográfica de todo el sistema DEFAULT. Si su escenario, por ejemplo, una aplicación de videoconferencia en el navegador web Firefox, requiere el uso de los protocolos obsoletos, cambie la política criptográfica de todo el sistema al nivel LEGACY:

# update-crypto-policies --set LEGACY

Para más información, consulte el artículo de la base de conocimientos Strong crypto defaults in RHEL 8 and deprecation of weak crypto algorithms en el Portal del Cliente de Red Hat y la página man update-crypto-policies(8).

(BZ#1660839)

DSA está obsoleto en RHEL 8

El Algoritmo de Firma Digital (DSA) se considera obsoleto en Red Hat Enterprise Linux 8. Los mecanismos de autenticación que dependen de claves DSA no funcionan en la configuración por defecto. Tenga en cuenta que los clientes OpenSSH no aceptan claves de host DSA incluso en el nivel de política criptográfica de todo el sistema LEGACY.

(BZ#1646541)

SSL2 Client Hello ha quedado obsoleto en NSS

El protocolo Transport Layer Security(TLS) versión 1.2 y anteriores permiten iniciar una negociación con un mensaje Client Hello formateado de manera compatible con el protocolo Secure Sockets Layer(SSL) versión 2. La compatibilidad con esta función en la biblioteca de servicios de seguridad de la red(NSS) ha quedado obsoleta y está desactivada por defecto.

Las aplicaciones que requieran soporte para esta función deben utilizar la nueva API SSL_ENABLE_V2_COMPATIBLE_HELLO para habilitarla. El soporte para esta función puede ser eliminado completamente en futuras versiones de Red Hat Enterprise Linux 8.

(BZ#1645153)

El TPM 1.2 está obsoleto

La versión estándar del criptoprocesador seguro Trusted Platform Module (TPM) se actualizó a la versión 2.0 en 2016. El TPM 2.0 ofrece muchas mejoras con respecto al TPM 1.2, y no es compatible con la versión anterior. El TPM 1.2 está obsoleto en RHEL 8, y es posible que se elimine en la próxima versión principal.

(BZ#1657927)