Ho letto la descrizione della suite di crittografia di mod_ssl
, e ho compreso il significato di alias e parole chiave come !
+
ecc. Ma non sono in grado di capire come leggere ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
completamente specialmente quando si tratta di priorità usando +
.
Quando provo a usare openssl
per capire come ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
è interpretato da Apache, non c'è ancora molto aiuto, perché ALL:
mi suggerisce che TUTTE le cifre dovrebbero venire, ma non lo è.
Inoltre, nel sotto o / p la suite di cifratura è elencata in ordine di preferenza, verrebbe scelta da Apache?
[apache1@hagrawal conf.d]$ openssl ciphers -v 'ALL!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW'
DHE-RSA-AES256-SHA SSLv3 Kx=DH Au=RSA Enc=AES(256) Mac=SHA1
DHE-DSS-AES256-SHA SSLv3 Kx=DH Au=DSS Enc=AES(256) Mac=SHA1
AES256-SHA SSLv3 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA1
DHE-RSA-AES128-SHA SSLv3 Kx=DH Au=RSA Enc=AES(128) Mac=SHA1
DHE-DSS-AES128-SHA SSLv3 Kx=DH Au=DSS Enc=AES(128) Mac=SHA1
AES128-SHA SSLv3 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA1
KRB5-DES-CBC3-MD5 SSLv3 Kx=KRB5 Au=KRB5 Enc=3DES(168) Mac=MD5
KRB5-DES-CBC3-SHA SSLv3 Kx=KRB5 Au=KRB5 Enc=3DES(168) Mac=SHA1
EDH-RSA-DES-CBC3-SHA SSLv3 Kx=DH Au=RSA Enc=3DES(168) Mac=SHA1
EDH-DSS-DES-CBC3-SHA SSLv3 Kx=DH Au=DSS Enc=3DES(168) Mac=SHA1
DES-CBC3-SHA SSLv3 Kx=RSA Au=RSA Enc=3DES(168) Mac=SHA1
KRB5-RC4-MD5 SSLv3 Kx=KRB5 Au=KRB5 Enc=RC4(128) Mac=MD5
KRB5-RC4-SHA SSLv3 Kx=KRB5 Au=KRB5 Enc=RC4(128) Mac=SHA1
RC4-SHA SSLv3 Kx=RSA Au=RSA Enc=RC4(128) Mac=SHA1
RC4-MD5 SSLv3 Kx=RSA Au=RSA Enc=RC4(128) Mac=MD5
KRB5-DES-CBC-MD5 SSLv3 Kx=KRB5 Au=KRB5 Enc=DES(56) Mac=MD5
KRB5-DES-CBC-SHA SSLv3 Kx=KRB5 Au=KRB5 Enc=DES(56) Mac=SHA1
EDH-RSA-DES-CBC-SHA SSLv3 Kx=DH Au=RSA Enc=DES(56) Mac=SHA1
EDH-DSS-DES-CBC-SHA SSLv3 Kx=DH Au=DSS Enc=DES(56) Mac=SHA1
DES-CBC-SHA SSLv3 Kx=RSA Au=RSA Enc=DES(56) Mac=SHA1
Seconda domanda:
Generalmente in Apache Cipher Suite viene specificato come SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
, ma può essere specificato come SSLCipherSuite TLS_RSA_WITH_RC4_128_SHA
, il che significa invece di specificare l'alias e collegarli, specificando direttamente la cifra che voglio usare. Se ci provo, può soffiare qualcosa sul mio Apache?
Ho provato a usare SSLCipherSuite TLS_RSA_WITH_RC4_128_SHA
e ho ricevuto l'errore. Almeno Apache avrebbe dovuto iniziare, no?
[Tue Aug 18 07:53:02 2015] [info] Configuring server for SSL protocol
[Tue Aug 18 07:53:02 2015] [error] Unable to configure permitted SSL ciphers
[Tue Aug 18 07:53:02 2015] [error] SSL Library Error: 336646329 error:1410D0B9:SSL routines:SSL_CTX_set_cipher_list:no cipher match
Sto cercando di creare la seguente preferenza delle suite di crittografia.
SSL3-RSA-RSA-NONE-0-MD5
SSL3-RSA-RSA-NONE-0-SHA
SSL3-RSA-RSA-RC4-128-MD5
SSL3-RSA-RSA-RC4-128-SHA
SSL3-RSA-RSA-DES-56-SHA
SSL3-RSA-RSA-DES3-168-SHA
TLS1.0-RSA-RSA-AES-128-CBC-128-SHA
TLS1.0-RSA-RSA-AES-256-CBC-256-SHA
TLS1.2-RSA-RSA-NONE-0-SHA256
TLS1.2-RSA-RSA-AES-128-CBC-128-SHA256
TLS1.2-RSA-RSA-AES-256-CBC-256-SHA256