在 nginx 配置文件中,您可以像这样配置 SSL 密码列表
ssl_ciphers HIGH:!aNULL:!eNULL:!LOW:!ADH:!RC4:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS;
这个密码串的语法是什么?也就是说,我知道(或认为我知道,如果我错了,请纠正我)该字符串旨在提供可能的 SSL 密码列表,并为它们提供优先级。什么文件在被解释这个字符串的格式不太大。
具体问题
是!否定的吗?也就是说,是否!DSS意味着不使用 DSS?或者是!DSS同一个密码?
是:字符分隔符?那是在密码列表“HIGH、!aNULL、!eNULL 等...”之上,还是:其他意思
是HIGH和LOW相同的密码,或者它们是某种特殊的元指令
上图没有,但我见过这样的字符串AES256-GCM-SHA384:ECDHE-RSA-RC4-SHA:。是-字符的密码名称的一部分,或者说他们有特殊的含义?
是否有资源可以解释该字符串的工作原理,还是希望使用该字符串的人也需要阅读 nginx 源代码以了解它是如何工作的?
此语法来自 OpenSSL。请参阅密码列表格式。
再往下它列出了不同的密码和这些元密码,如 HIGH
摘抄:
密码列表由一个或多个用冒号分隔的密码字符串组成。逗号或空格也是可接受的分隔符,但通常使用冒号。
实际的密码串可以采用几种不同的形式。
它可以由单个密码套件组成,例如 RC4-SHA。
它可以表示包含特定算法的密码套件列表,或特定类型的密码套件。例如,SHA1 表示使用摘要算法 SHA1 的所有密码套件,SSLv3 表示所有 SSL v3 算法。
可以使用 + 字符将密码套件列表组合在单个密码字符串中。这用作逻辑和操作。例如,SHA1+DES 表示包含 SHA1 和 DES 算法的所有密码套件。
每个密码字符串都可以选择在字符 !、- 或 + 之前。
如果 !使用后,密码将从列表中永久删除。删除的密码永远不会重新出现在列表中,即使它们被明确说明。
如果使用 - 则从列表中删除密码,但可以通过稍后的选项再次添加部分或全部密码。
如果使用 + 则密码被移动到列表的末尾。此选项不会添加任何新密码,它只是移动匹配现有密码。
...
Nginxssl_ciphers指令使用OpenSSL 密码列表格式。
此密码列表被描述为一个或多个密码字符串,通常用冒号或逗号分隔(OpenSSL 也支持空格,但您必须使用 nginx 将列表括在引号中)。
密码字符串是分组在关键字下的一个或多个特定密码套件。
默认情况下,OpenSSL 带有一个在库编译时确定的默认密码列表,并且出于明显的安全目的排除没有加密或身份验证的密码套件。它应该ALL:!aNULL:!eNULL与 OpenSSL 1.0 一样。
例如,密码串HIGH是指所有使用大于 128 位密钥提供加密的密码套件,而密码串LOW使用 56 或 64 位密钥匹配密码套件。此外,AES256-GCM-SHA384并且ECDHE-RSA-RC4-SHA是特定的密码套件。
符号!表示在握手阶段服务器与客户端交换支持的密码套件时删除一组密码套件或特定的密码套件。例如!eNULL,!aNULL删除不提供加密和身份验证的密码套件。
| 归档时间: |
|
| 查看次数: |
7500 次 |
| 最近记录: |