Como parte de la versión 11.6.3, se agregó soporte para Cipher Suites que usan Elliptic Curve Diffie-Hellman Ephemeral (ECDHE) para los siguientes intercambios de claves, lo que es una mejora significativa en la disponibilidad de cifrado existente:
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES256-SHA384
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-RSA-AES128-SHA256
Con estos cambios, ahora es posible usar teclas de curva elíptica (EC). Sin embargo, cambiar un certificado de receptor para usar una clave EC implica que todas las conexiones cifradas a ese receptor deben usar claves EC. Al hacerlo, se podría perder la compatibilidad con versiones anteriores, lo que provocaría la interrupción de la recopilación de datos para los clientes.
Siga estos pasos:
- Para habilitar las claves EC:
- ssh al receptor como root.
- Cree un directorio para hacer una copia de seguridad de la configuración actual usando el siguiente comando:
mkdir /root/SSLBackup
- Haga una copia de seguridad del certificado y la clave existentes con el siguiente comando:
cp -a /etc/NitroGuard/SSL.* /root/SSLBackup/
- Realice una copia de seguridad del script de creación del certificado con el siguiente comando:
cp -a /usr/local/bin/nasgencrt /root/SSLBackup/
- Edite el script de creación de certificados para crear claves EC:
sed -i 's/rsa:$req_bits/ec -pkeyopt ec_paramgen_curve:secp521r1/g' /usr/local/bin/nasgencrt
- Ejecute el script de creación de certificados:
/usr/local/bin/nasgencrt
- Finalmente, reinicie todos los recopiladores o reinicie el receptor.
- Para volver a las claves RSA:
- Restaure su script de creación de certificado de respaldo usando el siguiente comando:
cp -a /root/SSLBackup/nasgencrt /usr/local/bin/nasgencrt
- Restaure sus certificados SSL de respaldo usando el siguiente comando:
cp -a /root/SSLBackup/SSL.* /etc/NitroGuard/
NOTA: No es necesario completar los pasos anteriores en todos los receptores, solo en aquellos en los que desea cambiar para usar exclusivamente cifrados basados en claves EC.