【问题标题】:Nginx allow cipher TLS_RSA_WITH_3DES_EDE_CBC_SHANginx 允许密码 TLS_RSA_WITH_3DES_EDE_CBC_SHA
【发布时间】:2017-06-01 11:55:08
【问题描述】:

我想让我的服务器上的这个密码 TLS_RSA_WITH_3DES_EDE_CBC_SHA 符合 NIST 指南,我把它放在我的 nginx.conf 中:

ssl_ciphers 'DES-CBC3-SHA:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:!aNULL:!eNULL:!EXPORT:!RC4:!MD5:!PSK:!aECDH';

我以为我必须输入“DES-CBC3-SHA”,但它仍然没有为 TLSv1.1 和 TLS1.0 启用

我该怎么做?

【问题讨论】:

    标签: ssl nginx ssl-certificate


    【解决方案1】:

    您的 OpenSSL 版本未知。但是,如果您使用 OpenSSL 1.1.0,则默认情况下不会编译此密码,因为它被认为已损坏。您需要自定义构建 OpenSSL 才能使用此密码。更多详情请见SSL v3 Handshake Failure (but only in newer versions of OpenSSL)

    即使你真的想使用这个破密码,你也应该只将它添加到你的密码字符串的末尾,这样所有其他更安全的密码都会得到首选,而 DES-CBC3-SHA 只能用作(弱)后备。

    【讨论】:

      猜你喜欢
      • 2011-08-25
      • 2020-05-12
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2016-07-16
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多