关于服务器/服务器 S2S 通信:
第一台服务器上有 Apache .conf:
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
SSLHonorCipherOrder on
因此,仅限 TLS1.2,取自 Mozilla SSL 生成器(现代)
第二台服务器按优先顺序使用 TLS1.0、TLS1.1、TLS1.2 和 CBC 密码
例如 TLS1.2
TLS_RSA_WITH_AES_256_CBC_SHA256 (0x3d) 256
TLS_RSA_WITH_AES_128_CBC_SHA256 (0x3c) 128
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f)
问题是:
1) 第一个有SSLHonorCipherOrder on
问题吗?如果两者都设置,如何选择顺序?
2)首先,握手检索两个服务器使用的协议以便选择正确的协议?
3)为什么即使它不起作用,服务器日志上也没有错误(我猜……)?
谢谢
答案1
对于问题 1 和 2,如果该指令设置为 on,则应该没有问题。这是对 apache 的命令,表示按此顺序使用首选密码,将使用第一个可用的匹配项。理论上,您不应该超过 TLS_RSA_WITH_AES_256_CBC_SHA256。
但如果由于某种原因握手失败,则可以使用下一个密码。我认为您不会因此收到任何日志错误。