这是我在 haproxy 中的 ssl 密码设置,从 haproxy 线程中获取的:
global
ssl-default-bind-ciphers EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384: EECDH+aRSA+SHA256:EECDH+aRSA+RC4:EECDH:EDH+aRSA:RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4
frontend www-https
bind 0.0.0.0:443 ssl crt /ssl/private/ssl.pem no-sslv3 no-tls-tickets
但它无法使用curl,我甚至无法在 Opera 上浏览我的网站,因为 SSL 错误。当我使用curl -v https://myownsite.com它时,它给我NSS -12886SSL 连接错误。我尝试设置-- ciphers ecdhe_ecdsa_aes_128_sha参数但仍然不起作用。所以我将 haproxy 中的密码设置更改为
global
ssl-default-bind-ciphers EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
新列表不如旧列表长,但对于安全性来说它仍然足够强大吗?还有更好的选择吗?