我正在努力更改我管理的许多网络服务器上的密码规范,以避免每个人都在谈论的BEAST / BREACH / CRIME混乱。
在我们的LAMP主机上,我只是升级到OpenSSL 1.0.1和Apache 2.4,并使用了这些密码规范:
的SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDH-RSA-AES256-GCM-SHA384:AES256-GCM-SHA384:ECDHE-RSA- RC4-SHA384:ECDHE-RSA-RC4-SHA:AES256-GCM-SHA256:RC4-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA- CAMELLIA256-SHA:AES256-SHA256:AES256-SHA128:AES128-SHA128:AES256-SHA:AES128-SHA:MD5:NULL
我想要的功能 - 兼容的客户端通常会从主题获得密码规范,并且希望将来TLS 1.2兼容的客户端将获得GCM套件,并且一切都非常优雅地失败。但是,我们在Server 2008 R2上的IIS 7.5中运行了一些非常重要的ASP.NET应用程序(完全修补),组策略“SSL Cipher Suite Order”似乎不支持此功能。
在Server 2008 R2中,在密码套件的组策略中,它列出了支持的密码。显然它只支持ECDHE_ECDSA的GCM密码,而不支持ECDHE_RSA。 ECDHE_RSA仅支持CBC。此外,没有列出支持将ECDHE_RSA与RC4结合使用。
我错过了什么,还是有一个好的解决方法?我所能想到的就是通过 支持我想要的加密的主机代理它,但出于多种原因这是不可取的。我是不是经常使用RSA-RC4-128-SHA?或者,如果我禁用HTTP / TLS压缩并降低性能,我可以安全地使用TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256或类似的吗?
对不起,如果这没有多大意义,我对这类事情很陌生。