Esiste una fonte originale di informazioni che collega l'output del rapporto Qualys SSL alle impostazioni nelle configurazioni nginx e Apache?

0

Lo strumento online di Qualys per testare le configurazioni SSL del server web, link , produce un elenco di codici TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_CAMELLIA_256_CBC_SHA ecc.

Ci sono un sacco di howtos in rete, ma nessuno di essi mostra come collegare i codici stringa reali a quelli dei server web. È abbastanza facile usarli ma non si sa come arrivino a quelle impostazioni in particolare.

Esiste un tipo di tabella che mette in relazione i codici con le linee effettive in nginx o apache configurazioni?

    
posta vfclists 28.06.2016 - 05:07
fonte

1 risposta

1

Penso che tu stia chiedendo come mappare la configurazione dell'elenco di cifre openssl che puoi fornire a Apache e Nginx al Elenco suite di crittografia IANA TLS .

openssl ha un elenco che converte i nomi delle suite di crittografia tra i loro nomi standard usati nelle RFC ( e dallo strumento Qualys) e i nomi utilizzati da openssl.

Dovresti sfruttare la capacità di openssl di generare un elenco più lungo di suite di crittografia dai nomi più brevi e specificare una configurazione succinta come EECDH+aRSA+AESGCM:EDH+aRSA+AESGCM:EECDH+aRSA+AES:EDH+aRSA+AES che faccia sì che openssl generi questo:

> openssl ciphers -v 'EECDH+aRSA+AESGCM:EDH+aRSA+AESGCM:EECDH+aRSA+AES:EDH+aRSA+AES'
ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(256) Mac=AEAD
ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(128) Mac=AEAD
DHE-RSA-AES256-GCM-SHA384   TLSv1.2 Kx=DH       Au=RSA  Enc=AESGCM(256) Mac=AEAD
DHE-RSA-AES128-GCM-SHA256   TLSv1.2 Kx=DH       Au=RSA  Enc=AESGCM(128) Mac=AEAD
ECDHE-RSA-AES256-SHA384     TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(256)    Mac=SHA384
ECDHE-RSA-AES256-SHA        SSLv3   Kx=ECDH     Au=RSA  Enc=AES(256)    Mac=SHA1
ECDHE-RSA-AES128-SHA256     TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(128)    Mac=SHA256
ECDHE-RSA-AES128-SHA        SSLv3   Kx=ECDH     Au=RSA  Enc=AES(128)    Mac=SHA1
DHE-RSA-AES256-SHA256       TLSv1.2 Kx=DH       Au=RSA  Enc=AES(256)    Mac=SHA256
DHE-RSA-AES256-SHA          SSLv3   Kx=DH       Au=RSA  Enc=AES(256)    Mac=SHA1
DHE-RSA-AES128-SHA256       TLSv1.2 Kx=DH       Au=RSA  Enc=AES(128)    Mac=SHA256
DHE-RSA-AES128-SHA          SSLv3   Kx=DH       Au=RSA  Enc=AES(128)    Mac=SHA1

che è fondamentalmente quello che vuoi (se non usi i certificati ECDSA e assicurati che il tuo DHE usi un buon gruppo di 2048 bit).

    
risposta data 15.10.2016 - 02:40
fonte

Leggi altre domande sui tag