我想允许我服务器上的密码TLS_RSA_WITH_3DES_EDE_CBC_SHA与NIST准则兼容,我将其放在我的nginx.conf中:

ssl_ciphers 'DES-CBC3-SHA:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:!aNULL:!eNULL:!EXPORT:!RC4:!MD5:!PSK:!aECDH';


我以为我必须放入“ DES-CBC3-SHA”,但仍未启用TLSv1.1和TLS1.0

我怎样才能做到这一点 ?

最佳答案

您的OpenSSL版本未知。但是,如果您使用OpenSSL 1.1.0,则默认情况下不会编译此密码,因为它被认为已损坏。您需要具有OpenSSL的自定义版本才能使用此密码。有关更多详细信息,请参见SSL v3 Handshake Failure (but only in newer versions of OpenSSL)

即使您确实想使用此破密的密码,也应仅将其添加到密码字符串的末尾,这样所有其他更安全的密码都将成为首选密码,而DES-CBC3-SHA仅用作(弱)回退密码。

09-16 03:18