我们在 DataPower 中禁用了 SSLv3。我运行sslscan以检查当前在 SSL 握手期间可以使用的所有密码套件。
在 sslscan 输出中,我发现以下密码套件被接受。
TLSv1 256 bits AES256-SHA TLSv1 128 bits AES128-SHA TLSv1 168 bits DES-CBC3-SHA TLSv1 128 bits RC4-SHA
Preferred Server Cipher: TLSv1 256 bits AES256-SHA
然后,我在 DataPower(服务器)上禁用了 TLS1.0,并再次运行 sslscan。结果并不像我所期望的那样。所有密码套件(包括在通过 TLS1.0 握手期间接受的密码套件)都被拒绝了。
如果我禁用 TLS1.0,我怎么知道我的服务器会接受哪种密码?
答案1
这取决于 TLS 实现(服务器和客户端)所实现的内容和内置内容。您必须阅读手册或与支持人员沟通,或继续测试。
关于密码套件的选择,有很多文章。比如说Mozilla OpSec 的 openssl 密码字符串。列表的优先顺序、不允许的内容以及客户端兼容性讨论可能会引起人们的兴趣。