Red Hat Training

A Red Hat training course is available for RHEL 8

3.6. Excluindo uma aplicação de seguir as políticas de criptografia de todo o sistema

Você pode personalizar as configurações criptográficas usadas por sua aplicação, de preferência configurando as suítes de cifras suportadas e os protocolos diretamente na aplicação.

Você também pode remover um link simbólico relacionado à sua aplicação do diretório /etc/crypto-policies/back-ends e substituí-lo por suas configurações criptográficas personalizadas. Esta configuração impede o uso de políticas criptográficas de todo o sistema para aplicações que utilizam o back end excluído. Além disso, esta modificação não é suportada pela Red Hat.

3.6.1. Exemplos de exclusão de políticas de criptografia de todo o sistema

wget

Para personalizar as configurações criptográficas usadas pelo downloader da rede wget, use as opções --secure-protocol e --ciphers. Por exemplo: 

$ wget --secure-protocol=TLSv1_1 --ciphers="SECURE128" https://example.com

Consulte a seção Opções HTTPS (SSL/TLS) da página de manual wget(1) para mais informações.

enrolar

Para especificar as cifras usadas pela ferramenta curl, use a opção --ciphers e forneça uma lista de cifras separadas por dois pontos como um valor. Por exemplo: 

$ curl https://example.com --ciphers '@SECLEVEL=0:DES-CBC3-SHA:RSA-DES-CBC3-SHA'

Consulte a página de manual curl(1) para mais informações.

Firefox

Mesmo que você não possa optar por não participar das políticas de criptografia do sistema no navegador Firefox, você pode restringir ainda mais as cifras suportadas e as versões TLS no Editor de Configuração do Firefox. Digite about:config na barra de endereço e altere o valor da opção security.tls.version.min conforme necessário. Definindo security.tls.version.min como 1 permite TLS 1.0 como o mínimo exigido, security.tls.version.min 2 permite TLS 1.1, e assim por diante.

OpenSSH

Para optar pela exclusão das políticas de criptografia de todo o sistema para seu servidor OpenSSH, descomente a linha com a variável CRYPTO_POLICY= no arquivo /etc/sysconfig/sshd. Após esta mudança, os valores que você especificar nas seções Ciphers, MACs, KexAlgoritms, e GSSAPIKexAlgorithms no arquivo /etc/ssh/sshd_config não serão sobrepostos. Consulte a página de manual sshd_config(5) para maiores informações.

Libreswan

Consulte o documento Configuring IPsec connections that opt out of the system-wide crypto policies no documento Securing networks para obter informações detalhadas.

Recursos adicionais

  • Para mais detalhes, consulte a página de manual update-crypto-policies(8).