Nginx 允许密码 TLS_RSA_WITH_3DES_EDE_CBC_SHA
Nginx allow cipher TLS_RSA_WITH_3DES_EDE_CBC_SHA
我想让我服务器上的这个密码 TLS_RSA_WITH_3DES_EDE_CBC_SHA 符合 NIST 准则,我把它放在我的 nginx.conf:
ssl_ciphers 'DES-CBC3-SHA:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:!aNULL:!eNULL:!EXPORT:!RC4:!MD5:!PSK:!aECDH';
我以为我必须输入 'DES-CBC3-SHA' 但它仍然没有为 TLSv1.1 和 TLS1.0 启用
我该怎么做?
您的 OpenSSL 版本未知。但是,如果您使用 OpenSSL 1.1.0,则默认情况下不会编译此密码,因为它被认为已损坏。您需要自定义构建 OpenSSL 才能使用此密码。有关详细信息,请参阅 。
即使您真的想使用这个损坏的密码,您也应该只将它添加到密码字符串的末尾,以便所有这些其他更安全的密码成为首选,而 DES-CBC3-SHA 仅用作 (弱)回退。
我想让我服务器上的这个密码 TLS_RSA_WITH_3DES_EDE_CBC_SHA 符合 NIST 准则,我把它放在我的 nginx.conf:
ssl_ciphers 'DES-CBC3-SHA:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:!aNULL:!eNULL:!EXPORT:!RC4:!MD5:!PSK:!aECDH';
我以为我必须输入 'DES-CBC3-SHA' 但它仍然没有为 TLSv1.1 和 TLS1.0 启用
我该怎么做?
您的 OpenSSL 版本未知。但是,如果您使用 OpenSSL 1.1.0,则默认情况下不会编译此密码,因为它被认为已损坏。您需要自定义构建 OpenSSL 才能使用此密码。有关详细信息,请参阅
即使您真的想使用这个损坏的密码,您也应该只将它添加到密码字符串的末尾,以便所有这些其他更安全的密码成为首选,而 DES-CBC3-SHA 仅用作 (弱)回退。