10.3. Segurança

As cifras doNSS SEED são depreciadas

A biblioteca do Mozilla Network Security Services(NSS) não suportará os conjuntos de cifras TLS que usam uma cifra SEED em um lançamento futuro. Para implantações que dependem de cifras SEED, a Red Hat recomenda habilitar o suporte para outras suítes de cifras. Desta forma, você garante transições suaves quando o NSS removerá o suporte a elas.

Observe que as cifras SEED já estão desativadas por padrão na RHEL.

(BZ#1817533)

TLS 1.0 e TLS 1.1 são depreciados

Os protocolos TLS 1.0 e TLS 1.1 estão desabilitados no nível da política criptográfica do sistema DEFAULT. Se seu cenário, por exemplo, uma aplicação de videoconferência no navegador Firefox, exigir o uso dos protocolos depreciados, mude a política criptográfica de todo o sistema para o nível LEGACY:

# update-crypto-policies --set LEGACY

Para mais informações, veja o artigo da base de conhecimento Strong crypto defaults no RHEL 8 e a depreciação de algoritmos criptográficos fracos no Portal do Cliente da Red Hat e a página man update-crypto-policies(8).

(BZ#1660839)

A DSA é depreciada no RHEL 8

O Algoritmo de Assinatura Digital (DSA) é considerado depreciado no Red Hat Enterprise Linux 8. Os mecanismos de autenticação que dependem das chaves DSA não funcionam na configuração default. Note que os clientes OpenSSH não aceitam chaves de host DSA mesmo no nível da política criptográfica do sistema LEGACY.

(BZ#1646541)

SSL2 Cliente Olá foi depreciado no NSS

A versão 1.2 e anterior do protocolo Transport Layer Security(TLS) permite iniciar uma negociação com um Cliente Mensagem de Alô formatada de forma retrocompatível com o protocolo Secure Sockets Layer(SSL) versão 2. O suporte a este recurso na biblioteca de Serviços de Segurança de Rede(NSS) foi depreciado e está desativado por padrão.

As aplicações que requerem suporte para este recurso precisam usar a nova API SSL_ENABLE_V2_COMPATIBLE_HELLO API para habilitá-la. O suporte para este recurso pode ser removido completamente em futuros lançamentos do Red Hat Enterprise Linux 8.

(BZ#1645153)

TPM 1.2 é depreciado

A versão padrão do processador criptográfico seguro Trusted Platform Module (TPM) foi atualizada para a versão 2.0 em 2016. O TPM 2.0 oferece muitas melhorias em relação ao TPM 1.2, e não é retrocompatível com a versão anterior. O TPM 1.2 é depreciado no RHEL 8, e pode ser removido no próximo grande lançamento.

(BZ#1657927)