我正在使用Let的加密功能在我的服务器中安装免费的TLS / SSL证书。我遵循了Mozilla SSL Configuration Generator的建议并配置了这样的nginx:
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
问题是我需要Java 7与服务器通信,而且它不能使用上面的配置。
当我将网站提交到ssllabs时,我收到以下消息:
Java 7u25 Server sent fatal alert: handshake_failure
如果我只是在nginx配置中注释ssl_ciphers行,那么与Java 7的通信开始工作。
# After commenting the line below it works
# ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
所以我从ssllabs收到以下消息:
Java 7u25 RSA 2048 (SHA256) TLS 1.0 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
我不想让ssl_ciphers行评论,因为nginx会使用默认配置,这样安全性较低。
我想将密码TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA添加到ssl_ciphers列表中。
有可能吗?怎么做?
答案 0 :(得分:3)
从OpenSSL's cipher list或this nice table from testssl.sh,<abc>对应TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA。所以你要将ECDHE-RSA-AES128-SHA指令设置为
ssl_ciphers