Apache“SSLCipherSuite”指令

Question

在此期间TLS 握手，密码套件是同意在传输过程中使用的对等体之间的“在任何时候，由于内部或外部刺激（自动化或用户干预），任何一方都可能重新协商连接”。

正如所述文档您引用了：

_cipher-spec_ 中的 SSL 密码规范由 4 个主要属性和一些额外的次要属性组成：

- 密钥交换算法：RSA 或 Diffie-Hellman 变体。
- 身份验证算法：RSA、Diffie-Hellman、DSS 或无。
- 密码/加密算法：DES、Triple-DES、RC4、RC2、IDEA 或无。
- MAC 摘要算法：MD5、SHA 或 SHA1。

请注意，设置SSLCipherSuite为HIGH不会将列表限制为三重 DES。比较以下命令的输出：

# openssl ciphers 'HIGH'
# openssl ciphers '3DES'

您可能需要考虑使用高级加密标准 (AES)反而。

从安全角度来看，评估密码套件的顺序非常重要。检查这有关 BEAST 攻击缓解的文章有详细说明。该文章中的一个例子：

SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH

对该协议的详细分析可以在这博客文章。

Answer 1

在此期间TLS 握手，密码套件是同意在传输过程中使用的对等体之间的“在任何时候，由于内部或外部刺激（自动化或用户干预），任何一方都可能重新协商连接”。

正如所述文档您引用了：

_cipher-spec_ 中的 SSL 密码规范由 4 个主要属性和一些额外的次要属性组成：

- 密钥交换算法：RSA 或 Diffie-Hellman 变体。
- 身份验证算法：RSA、Diffie-Hellman、DSS 或无。
- 密码/加密算法：DES、Triple-DES、RC4、RC2、IDEA 或无。
- MAC 摘要算法：MD5、SHA 或 SHA1。

请注意，设置SSLCipherSuite为HIGH不会将列表限制为三重 DES。比较以下命令的输出：

# openssl ciphers 'HIGH'
# openssl ciphers '3DES'

您可能需要考虑使用高级加密标准 (AES)反而。

从安全角度来看，评估密码套件的顺序非常重要。检查这有关 BEAST 攻击缓解的文章有详细说明。该文章中的一个例子：

SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH

对该协议的详细分析可以在这博客文章。

Apache“SSLCipherSuite”指令

答案1

相关内容