Lighttpd:仅启用SSLv3,但使用TLSv1.2

时间:2014-12-09 12:06:49

标签: ssl encryption https lighttpd

我安装了Lighttpd-1.4.33,必须证明SSL和TLS的使用。因此,我使用了ssl.use-sslv3和ssl.cipher-suite参数 请参阅我的lighttpd.conf:

$SERVER["socket"] == ":443" {
server.document-root = "/var/www/"
server.protocol-http11 = "enable"
ssl.engine = "enable"
ssl.pemfile = "/etc/lighttpd/servercert.pem"
ssl.ca-file = "/etc/lighttpd/cacert.pem"
ssl.use-sslv3 = "enable"
}

当我提出请求时,它给了我一个TLSv1.2连接 现在,ssl.use-sslv3替换为以下内容:

ssl.cipher-list = "NULL-MD5:NULL-SHA:EXP-RC4-MD5:RC4-MD5:RC4-SHA:DES-CBC3-SHA:AES128-SHA:AES256-SHA:EXP1024-RC4-SHA"
ssl.honor-cipher-order = "enable"

也给了我一个TLSv1.2连接。

所以,我的问题是:
是否正确TLSv1.2“包含”SSLv3中使用的所有密码,因此使用它而不是SSLv3? 有没有机会强制Lighttpd拒绝TLSv1.2连接,但如果配置的话,不能拒绝SSLv3?

我有必要强制Lighttpd只使用SSLv3或TLSv1.0。
谢谢你的帮助。

密码列表来自http://www.openssl.org/docs/apps/ciphers.html#tls_v1_0_cipher_suites_

1 个答案:

答案 0 :(得分:1)

密码套件通常不会定义协议版本,即您无法通过启用或禁用密码套件来启用或禁用协议版本。如果服务器配置允许,则需要明确指定启用的SSL / TLS协议版本。

更新:查看http://redmine.lighttpd.net/projects/1/wiki/docs_ssl似乎use-sslv3参数也启用了所有TLS版本。

forum on Lighttpd.net表明,虽然还没有设置[尚未]来控制要使用的TLS版本,但您只能启用特定于TLS-1.2的密码套件,从而强制使用TLS 1.2(同样适用于我认为TLS 1.1 / 1.2组合。我没有查看源代码,所以我不能说它是如何工作的(如果它可以工作的话)。

同样here他们建议将ssl.use-sslv3参数设置为"禁用"为了禁用SSL 3并启用TLS。