我运行了一个名为密码扫描,针对 2 台通过 TLS 相互通信的服务器。
Cipherscan 会打印有关每个服务器的 TLS 功能的详细信息。根据这些数据,我想知道如何确定这两个服务器同意使用哪个套件,我可以假设它是两个服务器都支持的最高优先级吗?
什么必须完全匹配?
我把星号放在了我认为有问题的服务器可能会解决的位置,但我想知道这是否准确,他们是否会选择不同的列出的密码套件?
在星号的情况下,密码、协议版本和密钥交换 (pfs) 是相同的。我不确定哪些必须匹配,哪些可以不同。
谢谢,SM
Target: myXMPP:5223
prio ciphersuite protocols pfs curves
1 ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 ECDH,B-571,570bits sect163k1,sect163r1,sect163r2,sect193r1,sect193r2,sect233k1,sect233r1,sect239k1,sect283k1,sect283r1,sect409k1,sect409r1,sect571k1,sect571r1,secp160k1,secp160r1,secp160r2,secp192k1,prime192v1,secp224k1,secp224r1,secp256k1,prime256v1,secp384r1,secp521r1
2 ECDHE-RSA-AES256-SHA384 TLSv1.2 ECDH,B-571,570bits sect163k1,sect163r1,sect163r2,sect193r1,sect193r2,sect233k1,sect233r1,sect239k1,sect283k1,sect283r1,sect409k1,sect409r1,sect571k1,sect571r1,secp160k1,secp160r1,secp160r2,secp192k1,prime192v1,secp224k1,secp224r1,secp256k1,prime256v1,secp384r1,secp521r1
3 ECDHE-RSA-AES256-SHA TLSv1,TLSv1.1,TLSv1.2 ECDH,B-571,570bits sect163k1,sect163r1,sect163r2,sect193r1,sect193r2,sect233k1,sect233r1,sect239k1,sect283k1,sect283r1,sect409k1,sect409r1,sect571k1,sect571r1,secp160k1,secp160r1,secp160r2,secp192k1,prime192v1,secp224k1,secp224r1,secp256k1,prime256v1,secp384r1,secp521r1
* 4 DHE-RSA-AES256-GCM-SHA384 TLSv1.2 DH,1024bits None
5 DHE-RSA-AES256-SHA256 TLSv1.2 DH,1024bits None
6 DHE-RSA-AES256-SHA TLSv1,TLSv1.1,TLSv1.2 DH,1024bits None
7 AES256-GCM-SHA384 TLSv1.2 None None
8 AES256-SHA256 TLSv1.2 None None
9 AES256-SHA TLSv1,TLSv1.1,TLSv1.2 None None
10 ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 ECDH,B-571,570bits sect163k1,sect163r1,sect163r2,sect193r1,sect193r2,sect233k1,sect233r1,sect239k1,sect283k1,sect283r1,sect409k1,sect409r1,sect571k1,sect571r1,secp160k1,secp160r1,secp160r2,secp192k1,prime192v1,secp224k1,secp224r1,secp256k1,prime256v1,secp384r1,secp521r1
11 ECDHE-RSA-AES128-SHA256 TLSv1.2 ECDH,B-571,570bits sect163k1,sect163r1,sect163r2,sect193r1,sect193r2,sect233k1,sect233r1,sect239k1,sect283k1,sect283r1,sect409k1,sect409r1,sect571k1,sect571r1,secp160k1,secp160r1,secp160r2,secp192k1,prime192v1,secp224k1,secp224r1,secp256k1,prime256v1,secp384r1,secp521r1
12 ECDHE-RSA-AES128-SHA TLSv1,TLSv1.1,TLSv1.2 ECDH,B-571,570bits sect163k1,sect163r1,sect163r2,sect193r1,sect193r2,sect233k1,sect233r1,sect239k1,sect283k1,sect283r1,sect409k1,sect409r1,sect571k1,sect571r1,secp160k1,secp160r1,secp160r2,secp192k1,prime192v1,secp224k1,secp224r1,secp256k1,prime256v1,secp384r1,secp521r1
13 DHE-RSA-AES128-GCM-SHA256 TLSv1.2 DH,1024bits None
14 DHE-RSA-AES128-SHA256 TLSv1.2 DH,1024bits None
15 DHE-RSA-AES128-SHA TLSv1,TLSv1.1,TLSv1.2 DH,1024bits None
16 AES128-GCM-SHA256 TLSv1.2 None None
17 AES128-SHA256 TLSv1.2 None None
18 AES128-SHA TLSv1,TLSv1.1,TLSv1.2 None None
19 ECDHE-RSA-DES-CBC3-SHA TLSv1,TLSv1.1,TLSv1.2 ECDH,B-571,570bits sect163k1,sect163r1,sect163r2,sect193r1,sect193r2,sect233k1,sect233r1,sect239k1,sect283k1,sect283r1,sect409k1,sect409r1,sect571k1,sect571r1,secp160k1,secp160r1,secp160r2,secp192k1,prime192v1,secp224k1,secp224r1,secp256k1,prime256v1,secp384r1,secp521r1
20 EDH-RSA-DES-CBC3-SHA TLSv1,TLSv1.1,TLSv1.2 DH,1024bits None
21 DES-CBC3-SHA TLSv1,TLSv1.1,TLSv1.2 None None
Target: myLDAP:636
prio ciphersuite protocols pubkey_size signature_algoritm trusted ticket_hint ocsp_staple npn pfs curves curves_ordering
* 1 DHE-RSA-AES256-GCM-SHA384 TLSv1.2 2048 sha256WithRSAEncryption True None False None DH,1024bits None
2 DHE-RSA-AES128-GCM-SHA256 TLSv1.2 2048 sha256WithRSAEncryption True None False None DH,1024bits None
3 DHE-RSA-AES256-SHA256 TLSv1.2 2048 sha256WithRSAEncryption True None False None DH,1024bits None
4 DHE-RSA-AES256-SHA TLSv1,TLSv1.1,TLSv1.2 2048 sha256WithRSAEncryption True None False None DH,1024bits None
5 DHE-RSA-AES128-SHA256 TLSv1.2 2048 sha256WithRSAEncryption True None False None DH,1024bits None
6 DHE-RSA-AES128-SHA TLSv1,TLSv1.1,TLSv1.2 2048 sha256WithRSAEncryption True None False None DH,1024bits None
7 EDH-RSA-DES-CBC3-SHA TLSv1,TLSv1.1,TLSv1.2 2048 sha256WithRSAEncryption True None False None DH,1024bits None
8 AES256-GCM-SHA384 TLSv1.2 2048 sha256WithRSAEncryption True None False None None None
9 AES128-GCM-SHA256 TLSv1.2 2048 sha256WithRSAEncryption True None False None None None
10 AES256-SHA256 TLSv1.2 2048 sha256WithRSAEncryption True None False None None None
11 AES256-SHA TLSv1,TLSv1.1,TLSv1.2 2048 sha256WithRSAEncryption True None False None None None
12 AES128-SHA256 TLSv1.2 2048 sha256WithRSAEncryption True None False None None None
13 AES128-SHA TLSv1,TLSv1.1,TLSv1.2 2048 sha256WithRSAEncryption True None False None None None
14 DES-CBC3-SHA TLSv1,TLSv1.1,TLSv1.2 2048 sha256WithRSAEncryption True None False None None None
15 ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 2048 sha256WithRSAEncryption True None False None ECDH,P-384,384bits prime256v1,secp384r1 client
16 ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 2048 sha256WithRSAEncryption True None False None ECDH,P-384,384bits prime256v1,secp384r1 client
17 ECDHE-RSA-AES256-SHA384 TLSv1.2 2048 sha256WithRSAEncryption True None False None ECDH,P-384,384bits prime256v1,secp384r1 client
18 ECDHE-RSA-AES256-SHA TLSv1,TLSv1.1,TLSv1.2 2048 sha256WithRSAEncryption True None False None ECDH,P-384,384bits prime256v1,secp384r1 client
19 ECDHE-RSA-AES128-SHA256 TLSv1.2 2048 sha256WithRSAEncryption True None False None ECDH,P-384,384bits prime256v1,secp384r1 client
20 ECDHE-RSA-AES128-SHA TLSv1,TLSv1.1,TLSv1.2 2048 sha256WithRSAEncryption True None False None ECDH,P-384,384bits prime256v1,secp384r1 client
21 ECDHE-RSA-DES-CBC3-SHA TLSv1,TLSv1.1,TLSv1.2 2048 sha256WithRSAEncryption True None False None ECDH,P-384,384bits prime256v1,secp384r1 client
答案1
根据数据,我想知道如何确定这两个服务器同意哪个套件。
“服务器”有不同的含义,例如:
- 特定应用程序,例如 Web 服务器
- 运行此类应用程序的系统
- 通信中的角色,即在 TLS 的情况下,客户端角色正在启动 TLS 连接,而服务器角色正在接受连接
您的扫描仅显示特定 TLS 服务器角色(即 Web 服务器、邮件服务器……)支持的密码,即提供有关特定应用程序的特定部分的信息。系统上的任何其他服务器应用程序都可以使用不同的密码和密码顺序。即使是单个应用程序也可能具有使用不同密码的不同服务器角色(例如,一个 Web 服务器监听具有不同配置的多个端口)。此外,特定 TLS 服务器角色显示的密码并不意味着同一应用程序在 TLS 客户端角色中使用相同的密码和顺序,甚至不意味着同一系统中的某些其他应用程序将使用相同的密码集和顺序。
因此,您掌握的信息无法用来推断这些服务器之间通信时将使用哪种密码,最多只能用来找出不会使用哪些密码。