我们在 DataPower 中禁用了 SSLv3。我运行sslscan检查了 SSL 握手期间目前可以使用的所有密码套件。
在 sslscan 输出中,我发现以下密码套件被接受。
TLSv1 256 bits AES256-SHA
TLSv1 128 bits AES128-SHA
TLSv1 168 bits DES-CBC3-SHA
TLSv1 128 bits RC4-SHA
Preferred Server Cipher: TLSv1 256 bits AES256-SHA
然后,我在 DataPower(服务器)上禁用了 TLS1.0,并再次运行sslscan。结果并非我所期望的那样。所有密码套件(包括在通过 TLS1.0 握手期间接受的密码套件)都被拒绝。
如果我禁用 TLS1.0,我怎么知道我的服务器会接受哪种密码?
答案1
您的输出仅引用 TLS 1.0,禁用它会拒绝那些禁用的 TLS 1.0 选项。请参阅 DataPower 参考和文档以支持 TLS 1.1 和 TLS 1.2 以及配置密码套件。首先检查您的固件版本并正确升级以更好地支持最新的 TLS 配置。
这里是 DataPower 在固件版本 6 中默认支持 TSL 1.1 和 TLS 1.2 的参考。您当前的版本可能不支持除 TLS 1.0 之外的任何版本,并且还不允许配置 TLS 1.1 或 TLS 1.2。http://www-01.ibm.com/support/docview.wss?uid=swg21578730引用特定的加密配置以获得足够细粒度来解决每个 TLS 版本中的问题,例如 beast。
升级并配置后,重新运行 sslscan,或者如果您想与 sslscan 进行比较,可以使用其他方法,例如 testssl.sh。