Datové schránky - aktualizace šifrovací sady
Napsal: 06.04.2025 11:00V případě, že se v Delphi používá pro HTTPS komunikaci nová komponenta THTTPClient, tak je SSL/TLS protokol implementovaný pomocí Delphi knihoven a Windows API (na platformě Windows), je podporovaná množina šifrovacích protokolů daná vlastnostmi Windows API.
V případě, že se v Delphi používá pro HTTPS komunikaci knihovna INDY, která je závislá v případě HTTPS komunikace na knihovnách Open SSL, bude množina dostupných šifrovacích protokolů daná schopnostmi konkrétní verze Open SSL. Aktuálně iNuvio používá INDY ve verzi, která používá Open SSL v1.0. V případě INDY je pak možné programově upravit podporovanou množinu šifrovacích protokolů, nicméně máme zkušenost pouze se serverovou HTTPS komponentou. Zda je něco podobného možné i v klientské komponentě nevíme.
Omezování dostupné množiny šifrovacích protokolů (nebo i samotné verze TLS protokolu) je spíše doménou implementace serverových řešení. Server totiž zpravidla určuje co podporuje a klient by se měl přizpůsobit.
Množina šifrovacích protokolů pro Open SSL v1.0.2p (kterou aktuální distribuce iNuvio obsahuje):
ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:SRP-DSS-AES-256-CBC-SHA:SRP-RSA-AES-256-CBC-SHA:SRP-AES-256-CBC-SHA:DH-DSS-AES256-GCM-SHA384:DHE-DSS-AES256-GCM-SHA384:DH-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA256:DH-RSA-AES256-SHA256:DH-DSS-AES256-SHA256:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DH-RSA-AES256-SHA:DH-DSS-AES256-SHA:DHE-RSA-CAMELLIA256-SHA:DHE-DSS-CAMELLIA256-SHA:DH-RSA-CAMELLIA256-SHA:DH-DSS-CAMELLIA256-SHA:ECDH-RSA-AES256-GCM-SHA384:ECDH-ECDSA-AES256-GCM-SHA384:ECDH-RSA-AES256-SHA384:ECDH-ECDSA-AES256-SHA384:ECDH-RSA-AES256-SHA:ECDH-ECDSA-AES256-SHA:AES256-GCM-SHA384:AES256-SHA256:AES256-SHA:CAMELLIA256-SHA:PSK-AES256-CBC-SHA:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:SRP-DSS-AES-128-CBC-SHA:SRP-RSA-AES-128-CBC-SHA:SRP-AES-128-CBC-SHA:DH-DSS-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:DH-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-DSS-AES128-SHA256:DH-RSA-AES128-SHA256:DH-DSS-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DH-RSA-AES128-SHA:DH-DSS-AES128-SHA:DHE-RSA-SEED-SHA:DHE-DSS-SEED-SHA:DH-RSA-SEED-SHA:DH-DSS-SEED-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-DSS-CAMELLIA128-SHA:DH-RSA-CAMELLIA128-SHA:DH-DSS-CAMELLIA128-SHA:ECDH-RSA-AES128-GCM-SHA256:ECDH-ECDSA-AES128-GCM-SHA256:ECDH-RSA-AES128-SHA256:ECDH-ECDSA-AES128-SHA256:ECDH-RSA-AES128-SHA:ECDH-ECDSA-AES128-SHA:AES128-GCM-SHA256:AES128-SHA256:AES128-SHA:SEED-SHA:CAMELLIA128-SHA:IDEA-CBC-SHA:PSK-AES128-CBC-SHA:ECDHE-RSA-RC4-SHA:ECDHE-ECDSA-RC4-SHA:ECDH-RSA-RC4-SHA:ECDH-ECDSA-RC4-SHA:RC4-SHA:RC4-MD5:PSK-RC4-SHA:ECDHE-RSA-DES-CBC3-SHA:ECDHE-ECDSA-DES-CBC3-SHA:SRP-DSS-3DES-EDE-CBC-SHA:SRP-RSA-3DES-EDE-CBC-SHA:SRP-3DES-EDE-CBC-SHA:EDH-RSA-DES-CBC3-SHA:EDH-DSS-DES-CBC3-SHA:DH-RSA-DES-CBC3-SHA:DH-DSS-DES-CBC3-SHA:ECDH-RSA-DES-CBC3-SHA:ECDH-ECDSA-DES-CBC3-SHA:DES-CBC3-SHA:PSK-3DES-EDE-CBC-SHA
Seznam lze snadno zobrazit příkazem „openssl ciphers“.
Co se týče podpory šifrovacích protokolů ve Windows, viz tento článek:
https://learn.microsoft.com/en-us/windo ... n-schannel
Například konkrétně pro Windows 11 22H2:
https://learn.microsoft.com/en-us/windo ... s-11-v22h2
V dokumentu ohledně datových schránek zmiňují podporované protokoly:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
Dle podkladů výše Windows API uvedené protokoly podporuje v rámci TLS 1.2 a rovněž je podporuje verze Open SSL, kterou používá iNuvio (vyznačeno výše v seznamu protokolů).
Obě technologie tedy zmíněné šifrovací protokoly podporují. Lze předpokládat (bez experimentu to však zůstává jen jako předpoklad), že pokud není množina protokolů v kódu nijak explicitně určena, bude iNuvio podporovat všechny dostupné protokoly v použité technologii.
V případě, že se v Delphi používá pro HTTPS komunikaci knihovna INDY, která je závislá v případě HTTPS komunikace na knihovnách Open SSL, bude množina dostupných šifrovacích protokolů daná schopnostmi konkrétní verze Open SSL. Aktuálně iNuvio používá INDY ve verzi, která používá Open SSL v1.0. V případě INDY je pak možné programově upravit podporovanou množinu šifrovacích protokolů, nicméně máme zkušenost pouze se serverovou HTTPS komponentou. Zda je něco podobného možné i v klientské komponentě nevíme.
Omezování dostupné množiny šifrovacích protokolů (nebo i samotné verze TLS protokolu) je spíše doménou implementace serverových řešení. Server totiž zpravidla určuje co podporuje a klient by se měl přizpůsobit.
Množina šifrovacích protokolů pro Open SSL v1.0.2p (kterou aktuální distribuce iNuvio obsahuje):
ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:SRP-DSS-AES-256-CBC-SHA:SRP-RSA-AES-256-CBC-SHA:SRP-AES-256-CBC-SHA:DH-DSS-AES256-GCM-SHA384:DHE-DSS-AES256-GCM-SHA384:DH-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA256:DH-RSA-AES256-SHA256:DH-DSS-AES256-SHA256:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DH-RSA-AES256-SHA:DH-DSS-AES256-SHA:DHE-RSA-CAMELLIA256-SHA:DHE-DSS-CAMELLIA256-SHA:DH-RSA-CAMELLIA256-SHA:DH-DSS-CAMELLIA256-SHA:ECDH-RSA-AES256-GCM-SHA384:ECDH-ECDSA-AES256-GCM-SHA384:ECDH-RSA-AES256-SHA384:ECDH-ECDSA-AES256-SHA384:ECDH-RSA-AES256-SHA:ECDH-ECDSA-AES256-SHA:AES256-GCM-SHA384:AES256-SHA256:AES256-SHA:CAMELLIA256-SHA:PSK-AES256-CBC-SHA:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:SRP-DSS-AES-128-CBC-SHA:SRP-RSA-AES-128-CBC-SHA:SRP-AES-128-CBC-SHA:DH-DSS-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:DH-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-DSS-AES128-SHA256:DH-RSA-AES128-SHA256:DH-DSS-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DH-RSA-AES128-SHA:DH-DSS-AES128-SHA:DHE-RSA-SEED-SHA:DHE-DSS-SEED-SHA:DH-RSA-SEED-SHA:DH-DSS-SEED-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-DSS-CAMELLIA128-SHA:DH-RSA-CAMELLIA128-SHA:DH-DSS-CAMELLIA128-SHA:ECDH-RSA-AES128-GCM-SHA256:ECDH-ECDSA-AES128-GCM-SHA256:ECDH-RSA-AES128-SHA256:ECDH-ECDSA-AES128-SHA256:ECDH-RSA-AES128-SHA:ECDH-ECDSA-AES128-SHA:AES128-GCM-SHA256:AES128-SHA256:AES128-SHA:SEED-SHA:CAMELLIA128-SHA:IDEA-CBC-SHA:PSK-AES128-CBC-SHA:ECDHE-RSA-RC4-SHA:ECDHE-ECDSA-RC4-SHA:ECDH-RSA-RC4-SHA:ECDH-ECDSA-RC4-SHA:RC4-SHA:RC4-MD5:PSK-RC4-SHA:ECDHE-RSA-DES-CBC3-SHA:ECDHE-ECDSA-DES-CBC3-SHA:SRP-DSS-3DES-EDE-CBC-SHA:SRP-RSA-3DES-EDE-CBC-SHA:SRP-3DES-EDE-CBC-SHA:EDH-RSA-DES-CBC3-SHA:EDH-DSS-DES-CBC3-SHA:DH-RSA-DES-CBC3-SHA:DH-DSS-DES-CBC3-SHA:ECDH-RSA-DES-CBC3-SHA:ECDH-ECDSA-DES-CBC3-SHA:DES-CBC3-SHA:PSK-3DES-EDE-CBC-SHA
Seznam lze snadno zobrazit příkazem „openssl ciphers“.
Co se týče podpory šifrovacích protokolů ve Windows, viz tento článek:
https://learn.microsoft.com/en-us/windo ... n-schannel
Například konkrétně pro Windows 11 22H2:
https://learn.microsoft.com/en-us/windo ... s-11-v22h2
V dokumentu ohledně datových schránek zmiňují podporované protokoly:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
Dle podkladů výše Windows API uvedené protokoly podporuje v rámci TLS 1.2 a rovněž je podporuje verze Open SSL, kterou používá iNuvio (vyznačeno výše v seznamu protokolů).
Obě technologie tedy zmíněné šifrovací protokoly podporují. Lze předpokládat (bez experimentu to však zůstává jen jako předpoklad), že pokud není množina protokolů v kódu nijak explicitně určena, bude iNuvio podporovat všechny dostupné protokoly v použité technologii.