我想禁用一些有风险的 128 位密码套件(尤其是 TLS 1.1 和 1.0),以便在 Windows 中实现更安全的服务器。但这些密码套件可能被某些客户端使用。他们可能使用某些密码套件的 256 位版本。我只是想确保这不会造成问题。
答案1
这个问题不可能得到确切的回答。
一般来说,SSL/TLS 会协商最强的密码,并且至少过去 5 年内的大多数现代系统都会支持 256 位对称密码。
您必须对自己想要什么做出务实的决定。
您可以选择使用“危险密码套件”与安全性较低的客户端对话而不阻止它们,或者不与这些客户端对话并给它们带来问题,但变得更安全。
这是一种互相排斥的交易。
只有您才知道与您交谈的 SSL 客户端。您需要对以下内容进行分析或静态猜测:
- 您的客户是谁。
- 他们的 SSL 客户端有多新。
- 不与任何被阻止的客户交谈会对你的服务交付产生什么实际影响?
如果您希望确信它可能会产生什么影响。
除此之外,如果您没有时间、金钱或意愿,您可以更改它,看看是否会听到任何坏消息。