我在测试强化 SSL 配置时遇到问题磅。
其中一项要求是纳入AES[128|256]-SHA256密码,以及严格的优先顺序。我已经安装了OpenSSL 1.0.1c-fips在 CentOS 6 上(通过宫内节育器回购协议),并重建了英镑对美元的汇率(以及订单履行补丁)。
我的磅密码配置包含六个密码,内容如下:
Ciphers "RC4-SHA:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA"
SSLHonorCipherOrder 1
在我的本地机器上(Ubuntu 12.04,运行 OpenSSL 1.0.1), 我有一个脚本它测试网站本地支持的每个密码,并报告结果。简要输出为:
~$ ciphertest.sh x.x.x.x:443 | grep YES
Testing AES256-SHA...YES
Testing DES-CBC3-SHA...YES
Testing AES128-SHA...YES
Testing RC4-SHA...YES
您可以看到 SHA256 密码不起作用。但我可以确认我的本地 OpenSSL 确实支持 AES256-SHA256:
~$ openssl ciphers -v | grep ^AES256-SHA256
AES256-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA256
我以为这是一个配置问题,直到我运行了一个ssllabs.com测试结果显示所有 6 个密码均正确:
那么有人可以解释一下吗为什么我的 openssl 测试无法使用 SHA256 密码连接?