SSL S2S 通信、协议和密码

SSL S2S 通信、协议和密码

关于服务器/服务器 S2S 通信:

第一台服务器上有 Apache .conf:

SSLProtocol             all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite          ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
SSLHonorCipherOrder     on

因此,仅限 TLS1.2,取自 Mozilla SSL 生成器(现代)

第二台服务器按优先顺序使用 TLS1.0、TLS1.1、TLS1.2 和 CBC 密码

例如 TLS1.2

TLS_RSA_WITH_AES_256_CBC_SHA256 (0x3d)  256
TLS_RSA_WITH_AES_128_CBC_SHA256 (0x3c)  128
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f)

问题是:

1) 第一个有SSLHonorCipherOrder on问题吗?如果两者都设置,如何选择顺序?

2)首先,握手检索两个服务器使用的协议以便选择正确的协议?

3)为什么即使它不起作用,服务器日志上也没有错误(我猜……)?

谢谢

答案1

对于问题 1 和 2,如果该指令设置为 on,则应该没有问题。这是对 apache 的命令,表示按此顺序使用首选密码,将使用第一个可用的匹配项。理论上,您不应该超过 TLS_RSA_WITH_AES_256_CBC_SHA256。

但如果由于某种原因握手失败,则可以使用下一个密码。我认为您不会因此收到任何日志错误。

相关内容