我被要求在我的网站上禁用TLSv1 TLSv1.1
我已经能够做到,在密码列表中添加以下配置
vserver!21!ssl_ciphers = ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE -RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH + AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:!ECDHE-RSA-AES128-SHA:ECDHE- ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:!DHE-RSA -AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:!DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES: RC4:3DES:MD5:PSK:DHE-RSA-CAMELLIA256-SHA:AES256-SHA:CAMELLIA256-SHA:DHE-RSA-AES128-SHA DHE-RSA-CAMELLIA128-SHA :! AES128-SHA:!CAMELLIA128-SHA:!EDH-RSA-DES-CBC3-SHA:!DES-CBC3-SHA:HIGH:!SSLv2:!DESede:!SSLv3
问题是,在Windows和Linux上的最新Firefox版本(不是Macos)上,出现了SSl_error_no_cypher_overlap错误。
因此,我启用了TLSv1和TLSv1.1,并在我的网站上进行了sslscan扫描,并开始一一拒绝使用TLSv1和TLSv1.1的密码来查找Firefox使用的密码,然后我得到了该列表,该列表适用于Linux中的FF和Windows。
支持的服务器密码: 首选TLSv1.2 256位DHE-RSA-AES256-GCM-SHA384 DHE 1024位 接受的TLSv1.2 256位DHE-RSA-AES256-SHA256 DHE 1024位 接受的TLSv1.2 256位AES256-GCM-SHA384 接受的TLSv1.2 256位AES256-SHA256 接受的TLSv1.2 128位DHE-RSA-AES128-GCM-SHA256 DHE 1024位 接受的TLSv1.2 128位DHE-RSA-AES128-SHA256 DHE 1024位 接受的TLSv1.2 128位AES128-GCM-SHA256 接受的TLSv1.2 128位AES128-SHA256 接受的TLSv1.2 112位DES-CBC3-SHA 首选TLSv1.1 112位DES-CBC3-SHA 首选TLSv1.0 112位DES-CBC3-SHA 首选SSLv3 256位DHE-RSA-AES256-SHA DHE 1024位 接受的SSLv3 256位DHE-RSA-CAMELLIA256-SHA DHE 1024位 接受的SSLv3 256位AES256-SHA 接受的SSLv3 256位CAMELLIA256-SHA 接受的SSLv3 128位DHE-RSA-AES128-SHA DHE 1024位 接受的SSLv3 128位DHE-RSA-CAMELLIA128-SHA DHE 1024位 接受的SSLv3 128位AES128-SHA 接受的SSLv3 128位CAMELLIA128-SHA 接受的SSLv3 112位EDH-RSA-DES-CBC3-SHA DHE 1024位 接受的SSLv3 112位DES-CBC3-SHA
因此,如果禁用DES-CBC3-SHA,则会收到SSL_no_cipher_overlap错误,看起来FF默认不支持TLSv1.2或找不到其他匹配的密码。
有什么主意吗?
非常感谢! 塞萨尔。-