Selezione della suite di crittografia per compatibilità con http / 2 e TLS 1.0-1.2

1

Ho tentato di configurare il mio sito per avere il supporto http / 2, ma ho dovuto rimuovere le suite di crittografia a causa della lista nera. Alla fine, ho ottenuto una lista sufficientemente ridotta.

Il problema, tuttavia, è che ora ho solo una suite di crittografia compatibile con TLS 1.2. Mi piacerebbe amare , ma non è pratico in quanto spezza le versioni di Safari come nuove come quelle con OS X 10.10 perché supportano solo le suite CBC.

Qualche idea su cosa fare per avere una ragionevole compatibilità, eppure supportare HTTP / 2?

Attualmente, la lista è AESGCM+EECDH:AESGCM+EDH:!SHA1:!DSS:!DSA:!ECDSA:!aNULL

    
posta Yet Another User 20.03.2016 - 08:11
fonte

2 risposte

1

Dai un'occhiata all'elenco delle suite (e dell'ordine) supportate dal link , sono abbastanza sicuro che il sito funzioni in Mac OX X e iOS. Puoi usare gli strumenti SSL di qualy per ottenere la lista.

    
risposta data 20.03.2016 - 08:23
fonte
1

La specifica di cifratura più comunemente usata e accettata, o suite di cifratura progettata per HTTP / 2, è stata originariamente fornita dal leader del settore CDN e dal gigante del cloud CloudFlare che ha pubblicato la crittografia SSL e l'impostazione del protocollo dalla sua conf nginx:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
ssl_prefer_server_ciphers on;

Da What-cipher -suites-does-CloudFlare-use-for-SSL Ho visto questo fatto riferimento in più posizioni come un buon punto di partenza, o un set predefinito progettato per HTTP / 2 che è poi ottimizzato per le esigenze dei tuoi server / client. Subito molti possono scegliere di non supportare più TLS 1.0 a causa della vulnerabilità di attacco di BEAST.

    
risposta data 16.05.2016 - 03:56
fonte

Leggi altre domande sui tag