我想在我的服务器上允许这个密码TLS_RSA_WITH_3DES_EDE_CBC_SHA符合NIST指南,我把它放在我的nginx.conf上:
ssl_ciphers 'DES-CBC3-SHA:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:!aNULL:!eNULL:!EXPORT:!RC4:!MD5:!PSK:!aECDH';
我以为我必须把DES-CBC3-SHA' DES-CBC3-SHA'但它仍未启用TLSv1.1和TLS1.0
我该怎么做?
答案 0 :(得分:3)
您的OpenSSL版本未知。但是,如果您使用OpenSSL 1.1.0,则默认情况下不会编译此密码,因为它被视为已损坏。您需要使用自定义版本的OpenSSL才能使用此密码。有关详细信息,请参阅SSL v3 Handshake Failure (but only in newer versions of OpenSSL)。
即使您真的想要使用这个破解密码,您也应该只在密码字符串的末尾添加它,以便所有这些其他更安全的密码得到首选,DES-CBC3-SHA仅用作(弱)密码回退。