我被告知要从密码列表中删除SSL_RSA_WITH_3DES_EDE_CBC_SHA,因为它很弱。当我查看sslEnabledProtocols时,我没有看到SSLv3。以下是我所拥有的。
ciphers=TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA
sslEnabledProtocols=TLSv1,TLSv1.1,TLSv1.2
问题1:由于sslEnabledProtocols上不再列出SSLv3,我是否应该假设SSL_RSA_WITH_3DES_EDE_CBC_SHA是自动禁用的,而不是从密码中物理删除它?所有以SSL_开头的密码都与SSLv3相关?
问题2:为什么SSL_RSA_WITH_3DES_EDE_CBC_SHA和TLS_RSA_WITH_3DES_EDE_CBC_SHA都具有相同的OpenSSL名称DES-CBC3-SHA?
答案 0 :(得分:1)
没有。令人困惑的是,这个密码套件也可以在TLS中使用 - 有时也称为TLS_RSA_WITH_3DES_EDE_CBC_SHA,但通常不会。
https://mta.openssl.org/pipermail/openssl-users/2015-April/001055.html
请注意,如果删除它,您将删除某些旧用户(包括IE8 / XP)的访问权限。总是最好通过https://www.slllabs.com/ssltest/运行扫描以查看哪些客户端应该能够连接 - 同样,此扫描会查看SSL和TLS支持,而不仅仅是SSL,尽管它的名称:-)我想它会显示一个数字使用该密码套件的旧客户。因此,您只有在准备将其删除时才能停用,因此您需要确定代表的流量以及是否要执行此操作或推迟此计划。