Come parte della versione 11.6.3, è stato aggiunto il supporto per Cipher Suites che utilizzano Elliptic Curve Diffie-Hellman Ephemeral (ECDHE) per i seguenti scambi di chiavi, il che rappresenta un miglioramento significativo rispetto alla disponibilità di cifratura esistente:
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES256-SHA384
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-RSA-AES128-SHA256
Con queste modifiche, è ora possibile utilizzare i tasti Elliptic Curve (EC). Tuttavia, la modifica di un certificato Destinatario per l'utilizzo di una chiave EC implica che tutte le connessioni crittografate a tale Destinatario devono utilizzare chiavi EC. In questo modo, la compatibilità con le versioni precedenti potrebbe andare persa, causando l'interruzione della raccolta dei dati per i clienti.
Attenersi alla seguente procedura:
- Per abilitare le chiavi EC:
- ssh al ricevitore come root.
- Crea una directory per eseguire il backup della configurazione corrente utilizzando il seguente comando:
mkdir /root/SSLBackup
- Eseguire il backup del certificato e della chiave esistenti utilizzando il comando seguente:
cp -a /etc/NitroGuard/SSL.* /root/SSLBackup/
- Eseguire il backup dello script di creazione del certificato utilizzando il comando seguente:
cp -a /usr/local/bin/nasgencrt /root/SSLBackup/
- Modifica lo script di creazione del certificato per creare le chiavi EC:
sed -i 's/rsa:$req_bits/ec -pkeyopt ec_paramgen_curve:secp521r1/g' /usr/local/bin/nasgencrt
- Esegui lo script di creazione del certificato:
/usr/local/bin/nasgencrt
- Infine, riavvia tutti i raccoglitori o riavvia il ricevitore.
- Per tornare alle chiavi RSA:
- Ripristina lo script di creazione del certificato di backup utilizzando il seguente comando:
cp -a /root/SSLBackup/nasgencrt /usr/local/bin/nasgencrt
- Ripristina i certificati SSL di backup utilizzando il comando seguente:
cp -a /root/SSLBackup/SSL.* /etc/NitroGuard/
NOTA: i passaggi precedenti non devono essere completati su tutti i ricevitori, solo quelli in cui si desidera passare esclusivamente all'utilizzo di cifrari basati su chiave EC.