Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 1 subscriber
  • Views 13489 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WAF only 128bit SSL

tetris
Hi, 

i have one ASG that only uses a RC4 encryption 128bit. I guess its a revision 4, Firmware 8.309. 
All of my Rev. 5 and UTM9 are using Camellia 256bit encryption. 

Does the encryption algorythm depend on the ASG revision or is it a bug in my machine?

Thanks for your help  (hope my english was not to bad).


This thread was automatically locked due to age.
Parents
  • 0
    https://en.wikipedia.org/wiki/Transport_Layer_Security#Dealing_with_RC4_and_BEAST

    According to this, CBC ciphers are considered safer than RC4, but I don't know if the PCI group feels this way yet.

    Barry
  • 0 in reply to BarryG
    https://en.wikipedia.org/wiki/Transport_Layer_Security#Dealing_with_RC4_and_BEAST

    According to this, CBC ciphers are considered safer than RC4, but I don't know if the PCI group feels this way yet.

    Barry


    We're using TrustWave for PCI scans, etc... they are now reporting the following on some of our servers as "Informational"; i.e. not a warning yet:

    SSL RC4-based Ciphers
    Supported
    This server may be able to be configured to mitigate a vulnerability
    present in some web browsers. An attack is possible when using
    RC4-based ciphers that takes advantage of single-byte biases within
    the RC4 algorithm, that could make it easier for remote attackers to
    conduct plaintext-recovery attacks via statistical analysis of cipher
    text in a larger number of sessions (i.e. millions of sessions) that use
    the same plain text. The vulnerability is present on the browser, but
    steps may be taken on web servers to mitigate it. As the attack exploits
    RC4-based ciphers, SSL may be configured on web servers to disable
    RC4 ciphers or to prefer ciphers over RC4-based ones. Alternatively,
    the web server may be configured to allow only TLS versions 1.1 and
    1.2, which are not vulnerable; however, support for these newer TLS
    versions is not as widespread, and disabling previous versions may
    prevent some users from connecting to the server.


    Barry
Reply
  • 0 in reply to BarryG
    https://en.wikipedia.org/wiki/Transport_Layer_Security#Dealing_with_RC4_and_BEAST

    According to this, CBC ciphers are considered safer than RC4, but I don't know if the PCI group feels this way yet.

    Barry


    We're using TrustWave for PCI scans, etc... they are now reporting the following on some of our servers as "Informational"; i.e. not a warning yet:

    SSL RC4-based Ciphers
    Supported
    This server may be able to be configured to mitigate a vulnerability
    present in some web browsers. An attack is possible when using
    RC4-based ciphers that takes advantage of single-byte biases within
    the RC4 algorithm, that could make it easier for remote attackers to
    conduct plaintext-recovery attacks via statistical analysis of cipher
    text in a larger number of sessions (i.e. millions of sessions) that use
    the same plain text. The vulnerability is present on the browser, but
    steps may be taken on web servers to mitigate it. As the attack exploits
    RC4-based ciphers, SSL may be configured on web servers to disable
    RC4 ciphers or to prefer ciphers over RC4-based ones. Alternatively,
    the web server may be configured to allow only TLS versions 1.1 and
    1.2, which are not vulnerable; however, support for these newer TLS
    versions is not as widespread, and disabling previous versions may
    prevent some users from connecting to the server.


    Barry
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?