sir*_*004 3 apache ssl openssl
请原谅我,如果以前曾经问过这个问题,但我真的想深入了解SSLCipherSuite指令在Apache和其他地方的工作原理.首先,我熟悉密码的四个部分:
密钥交换算法
认证算法
密码编码算法(批量加密)
MAC摘要算法(散列函数)
这是我的Apache盒子的默认SSLCipherSuite:
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
根据我目前的知识和我在网上看到的内容,以下是我读到的内容:
HIGH - 启用使用Triple-DES的所有密码MEDIUM - 启用所有128位加密的密码!aNULL - 禁用空认证,以后不能通过"+"(加号)重新添加到字符串!MD5 - MD5哈希被禁用,以后不能通过"+"(加号)符号重新添加到字符串中
现在我的问题是,别名HIGH,MEDIUM和LOW是指JUST使用的批量加密算法,还是用作整个密码套件(上面列出的所有四个类别)?将它设置为这样会有问题吗?
SSLCipherSuite HIGH
或者是否会产生意想不到的后果,因为对其他三个类别没有限制?如果是这种情况,除了使用MD5作为哈希算法还有什么其他的东西,我应该从密钥交换,身份验证,MAC摘要算法类别中禁用?
谢谢,如果有任何需要澄清或扩展,请告诉我!
请参阅所有组件 - 所有类别.
您可以键入openssl ciphers 'HIGH'(等)以检索与该设置关联的密码列表.在我的旧Mac(较旧的OpenSSL)上,我得到(与其他版本,你会看到不同的 - 推荐最新版本没有/很少记录的漏洞):
$ openssl ciphers 'HIGH'
ADH-AES256-SHA:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:AES256-SHA:ADH-AES128-SHA:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:AES128-SHA:ADH-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:EDH-DSS-DES-CBC3-SHA:DES-CBC3-SHA:DES-CBC3-MD5
$ openssl ciphers 'MEDIUM'
ADH-SEED-SHA:DHE-RSA-SEED-SHA:DHE-DSS-SEED-SHA:SEED-SHA:ADH-RC4-MD5:RC4-SHA:RC4-MD5:RC2-CBC-MD5:RC4-MD5
$ openssl ciphers 'LOW'
ADH-DES-CBC-SHA:EDH-RSA-DES-CBC-SHA:EDH-DSS-DES-CBC-SHA:DES-CBC-SHA:DES-CBC-MD5
你提到你了解密码套件.这是一份白皮书,其中有一节" choosing cipher suites":https://www.creativsymantec.com/campaigncentral/downl/b-wp_ecc.pdf
当然,选择一个密码套件正在移动目标,其中包含最近出现的所有漏洞,例如Poodle(SSLv3和带有分组密码的TLS1)等等.根据Qualys SSL测试测试您的Web服务器并信任其评估将是一个好主意.