Server negoziato HTTP / 2 con la suite nella blacklist

Naviga le tue risposte
5

Capisco che ci sono alcuni post riguardanti il mio messaggio di errore, e li ho guardati senza fortuna per risolvere il mio problema.

In sostanza, alcuni browser Web non sono in grado di caricare il mio sito a causa delle seguenti suite in blacklist

Server negotiated HTTP/2 with blacklisted suite

TLS_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_256_GCM_SHA384

Le mie configurazioni di Nginx contengono quanto segue 

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!DH:!ECDH:!CAMELLIA:!SRP:!PSK:!MD5:!KRB5;

Che cosa deve essere cambiato nei miei ssl_ciphers? O quali risorse posso esaminare per darmi una direzione?

    
posta Jeffrey Wen 21.03.2017 - 19:30
fonte

1 risposta

3

Questi semi sono inclusi nell'elenco di ciphersuites vietati da HTTP / 2 definiti in RFC 7540 .

Dal momento che AES-GCM e RSA godono ancora di una buona reputazione, la debolezza rimanente della seconda suite è che non offre la segretezza.

Le specifiche lo confermano:

This list includes those cipher suites that do not offer an ephemeral key exchange [this rules out both of your suites] and those that are based on the TLS null, stream, or block cipher type [this rules out TLS_RSA_WITH_AES_256_CBC_SHA]

Nella tua stringa di configurazione vedo !DH e, soprattutto, !ECDH che disabilita tutti i tipi di suite Diffie-Hellman, incluso l'effimero Diffie-Hellman, che sono il modo in cui SSL raggiunge la segretezza.

ECDH

cipher suites using ECDH key exchange, including anonymous, ephemeral and fixed ECDH.

Quindi la correzione è di permettere la curva ellittica effimera Diffie-Hellman (ECDHE)

    
risposta data 22.03.2017 - 14:58
fonte

Leggi altre domande sui tag

È possibile inviare correttamente un'intestazione UDP falsificata con un IP di origine completamente non correlato? Perché i collegamenti locali sono disabilitati di default nei browser moderni?