Я хотел бы включить шифр SSL EDH-DSS-DES-CBC3-SHA
(также известный как TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
) в моей nginx среде SSL для поддержки IE8 на Windows XP.
Основные шифры SSL для nginx:
ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK
EDH-DSS-DES-CBC3-SHA
отключен через !DES
. Я пытался поместить тот шифр перед запрещать правилами (между DHE-RSA-AES256-SHA
и !aNULL
) и после (как самый последний аргумент), но ни один не работал.
Как включить шифр EDH-DSS-DES-CBC3-SHA
не включая все DES
или вручную отключение другой DES
шифры?
Информация о версии: nginx 1.7.8, OpenSSL 1.0.1e
У вас есть эта базовая строка:
$ openssl ciphers -V 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK' | nl
И на моем OpenSSL 1.0 .2d 9 июля 2015 г.
это приводит к следующим 22 комплектам шифров:
1 0xC0,0x2F - ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx = ECDH Au = RSA Enc = AESGCM (128) Mac = AEAD 2 0xC0,0x2B - ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx = ECDH Au = ECDSA Enc = AESGCM (128) Mac = AEAD 3 0xC0,0x30 - ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx = ECDH Au = RSA Enc = AESGCM (256) Mac = AEAD 4 0xC0,0x2C - ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx = ECDH Au = ECDSA Enc = AESGCM (256) Mac = AEAD 5 0x00,0x9E - DHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx = DH Au = RSA Enc = AESGCM (128) Mac = AEAD 6 0x00,0xA2 - DHE-DSS-AES128-GCM-SHA256 TLSv1.2 Kx = DH Au = DSS Enc = AESGCM (128) Mac = AEAD 7 0x00,0xA3 - DHE-DSS-AES256-GCM-SHA384 TLSv1.2 Kx = DH Au = DSS Enc = AESGCM (256) Mac = AEAD 8 0x00,0x9F - DHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx = DH Au = RSA Enc = AESGCM (256) Mac = AEAD 9 0xC0,0x27 - ECDHE-RSA-AES128-SHA256 TLSv1.2 Kx = ECDH Au = RSA Enc = AES (128) Mac = SHA256 10 0xC0,0x23 - ECDHE-ECDSA-AES128-SHA256 TLSv1.2 Kx = ECDH Au = ECDSA Enc = AES (128) Mac = SHA256 11 0xC0,0x13 - ECDHE-RSA-AES128-SHA SSLv3 Kx = ECDH Au = RSA Enc = AES (128) Mac = SHA1 12 0xC0,0x09 - ECDHE-ECDSA-AES128-SHA SSLv3 Kx = ECDH Au = ECDSA Enc = AES (128) Mac = SHA1 13 0xC0,0x28 - ECDHE-RSA-AES256-SHA384 TLSv1.2 Kx = ECDH Au = RSA Enc = AES (256) Mac = SHA384 14 0xC0,0x24 - ECDHE-ECDSA-AES256-SHA384 TLSv1.2 Kx = ECDH Au = ECDSA Enc = AES (256) Mac = SHA384 15 0xC0,0x14 - ECDHE-RSA-AES256-SHA SSLv3 Kx = ECDH Au = RSA Enc = AES (256) Mac = SHA1 16 0xC0,0x0A - ECDHE-ECDSA-AES256-SHA SSLv3 Kx = ECDH Au = ECDSA Enc = AES (256) Mac = SHA1 17 0x00,0x67 - DHE-RSA-AES128-SHA256 TLSv1.2 Kx = DH Au = RSA Enc = AES (128) Mac = SHA256 18 0x00,0x33 - DHE-RSA-AES128-SHA SSLv3 Kx = DH Au = RSA Enc = AES (128) Mac = SHA1 19 0x00,0x40 - DHE-DSS-AES128-SHA256 TLSv1.2 Kx = DH Au = DSS Enc = AES (128) Mac = SHA256 20 0x00,0x6B - DHE-RSA-AES256-SHA256 TLSv1.2 Kx = DH Au = RSA Enc = AES (256) Mac = SHA256 21 0x00,0x38 - DHE-DSS-AES256-SHA SSLv3 Kx = DH Au = DSS Enc = AES (256) Mac = SHA1 22 0x00,0x39 - DHE-RSA-AES256-SHA SSLv3 Kx = DH Au = RSA Enc = AES (256) Mac = SHA1
Вы можете явно исключить наборы шифров из вашего результирующего набора двумя способами:
!
-
] После того, как вы использовали !
, чтобы выбросить набор шифров, вы не можете повторно добавить их. Это то, что вы сделали с ! 3DES
.
Вот набор, который содержит дополнительный набор, который вам нужен:
Я заменил конец строки шифра из
:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK'
на
:-3DES:EDH-DSS-DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK'
Теперь это дает 23 набора шифров:
$ openssl ciphers -V 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:-3DES:EDH-DSS-DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK' | nl
1 0xC0,0x2F - ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(128) Mac=AEAD
2 0xC0,0x2B - ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(128) Mac=AEAD
3 0xC0,0x30 - ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD
4 0xC0,0x2C - ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(256) Mac=AEAD
5 0x00,0x9E - DHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=DH Au=RSA Enc=AESGCM(128) Mac=AEAD
6 0x00,0xA2 - DHE-DSS-AES128-GCM-SHA256 TLSv1.2 Kx=DH Au=DSS Enc=AESGCM(128) Mac=AEAD
7 0x00,0xA3 - DHE-DSS-AES256-GCM-SHA384 TLSv1.2 Kx=DH Au=DSS Enc=AESGCM(256) Mac=AEAD
8 0x00,0x9F - DHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=DH Au=RSA Enc=AESGCM(256) Mac=AEAD
9 0xC0,0x27 - ECDHE-RSA-AES128-SHA256 TLSv1.2 Kx=ECDH Au=RSA Enc=AES(128) Mac=SHA256
10 0xC0,0x23 - ECDHE-ECDSA-AES128-SHA256 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AES(128) Mac=SHA256
11 0xC0,0x13 - ECDHE-RSA-AES128-SHA SSLv3 Kx=ECDH Au=RSA Enc=AES(128) Mac=SHA1
12 0xC0,0x09 - ECDHE-ECDSA-AES128-SHA SSLv3 Kx=ECDH Au=ECDSA Enc=AES(128) Mac=SHA1
13 0xC0,0x28 - ECDHE-RSA-AES256-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AES(256) Mac=SHA384
14 0xC0,0x24 - ECDHE-ECDSA-AES256-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AES(256) Mac=SHA384
15 0xC0,0x14 - ECDHE-RSA-AES256-SHA SSLv3 Kx=ECDH Au=RSA Enc=AES(256) Mac=SHA1
16 0xC0,0x0A - ECDHE-ECDSA-AES256-SHA SSLv3 Kx=ECDH Au=ECDSA Enc=AES(256) Mac=SHA1
17 0x00,0x67 - DHE-RSA-AES128-SHA256 TLSv1.2 Kx=DH Au=RSA Enc=AES(128) Mac=SHA256
18 0x00,0x33 - DHE-RSA-AES128-SHA SSLv3 Kx=DH Au=RSA Enc=AES(128) Mac=SHA1
19 0x00,0x40 - DHE-DSS-AES128-SHA256 TLSv1.2 Kx=DH Au=DSS Enc=AES(128) Mac=SHA256
20 0x00,0x6B - DHE-RSA-AES256-SHA256 TLSv1.2 Kx=DH Au=RSA Enc=AES(256) Mac=SHA256
21 0x00,0x38 - DHE-DSS-AES256-SHA SSLv3 Kx=DH Au=DSS Enc=AES(256) Mac=SHA1
22 0x00,0x39 - DHE-RSA-AES256-SHA SSLv3 Kx=DH Au=RSA Enc=AES(256) Mac=SHA1
23 0x00,0x13 - EDH-DSS-DES-CBC3-SHA SSLv3 Kx=DH Au=DSS Enc=3DES(168) Mac=SHA1