密码和支持 SSL 的协议之间的关系
Relationship between ciphers and SSL enabled protocols
我被告知要从密码列表中删除 SSL_RSA_WITH_3DES_EDE_CBC_SHA,因为它很弱。当我查看 sslEnabledProtocols 时,我没有看到 SSLv3。以下是我的。
ciphers=TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA
sslEnabledProtocols=TLSv1,TLSv1.1,TLSv1.2
问题 1:由于 SSLv3 不再列在 sslEnabledProtocols 上,我是否应该假设 SSL_RSA_WITH_3DES_EDE_CBC_SHA 自动禁用而不从密码中物理删除它?所有以 SSL_ 开头的密码都与 SSLv3 有关吗?
问题 2:为什么 SSL_RSA_WITH_3DES_EDE_CBC_SHA 和 TLS_RSA_WITH_3DES_EDE_CBC_SHA 都有相同的 OpenSSL 名称 DES-CBC3-SHA?
没有。令人困惑的是,这个密码套件在 TLS 中也可用 - 有时称为 TLS_RSA_WITH_3DES_EDE_CBC_SHA 但通常不是。
https://mta.openssl.org/pipermail/openssl-users/2015-April/001055.html
请注意,如果您删除它,您将删除一些旧用户(包括 IE8/XP)的访问权限。始终最好 运行 扫描 https://www.slllabs.com/ssltest/ 以查看哪些客户端应该能够连接或不连接 - 同样,此扫描着眼于 SSL 和 TLS 支持,而不仅仅是 SSL,尽管它的名称:-) 我想它将显示许多使用该密码套件的老客户。因此,只有在您准备好切断它们时才能禁用它们,因此您需要决定代表多少流量以及是否要这样做或推迟此计划。
我被告知要从密码列表中删除 SSL_RSA_WITH_3DES_EDE_CBC_SHA,因为它很弱。当我查看 sslEnabledProtocols 时,我没有看到 SSLv3。以下是我的。
ciphers=TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA
sslEnabledProtocols=TLSv1,TLSv1.1,TLSv1.2
问题 1:由于 SSLv3 不再列在 sslEnabledProtocols 上,我是否应该假设 SSL_RSA_WITH_3DES_EDE_CBC_SHA 自动禁用而不从密码中物理删除它?所有以 SSL_ 开头的密码都与 SSLv3 有关吗?
问题 2:为什么 SSL_RSA_WITH_3DES_EDE_CBC_SHA 和 TLS_RSA_WITH_3DES_EDE_CBC_SHA 都有相同的 OpenSSL 名称 DES-CBC3-SHA?
没有。令人困惑的是,这个密码套件在 TLS 中也可用 - 有时称为 TLS_RSA_WITH_3DES_EDE_CBC_SHA 但通常不是。
https://mta.openssl.org/pipermail/openssl-users/2015-April/001055.html
请注意,如果您删除它,您将删除一些旧用户(包括 IE8/XP)的访问权限。始终最好 运行 扫描 https://www.slllabs.com/ssltest/ 以查看哪些客户端应该能够连接或不连接 - 同样,此扫描着眼于 SSL 和 TLS 支持,而不仅仅是 SSL,尽管它的名称:-) 我想它将显示许多使用该密码套件的老客户。因此,只有在您准备好切断它们时才能禁用它们,因此您需要决定代表多少流量以及是否要这样做或推迟此计划。