Как включить определенный шифр SSL в то время как отключавший группу?

Question

Как включить определенный шифр SSL в то время как отключавший группу?

Я хотел бы включить шифр SSL EDH-DSS-DES-CBC3-SHA (также известный как TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA) в моей nginx среде SSL для поддержки IE8 на Windows XP.

Основные шифры SSL для nginx:

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK

EDH-DSS-DES-CBC3-SHA отключен через !DES. Я пытался поместить тот шифр перед запрещать правилами (между DHE-RSA-AES256-SHA и !aNULL) и после (как самый последний аргумент), но ни один не работал.

Как включить шифр EDH-DSS-DES-CBC3-SHA не включая все DES или вручную отключение другой DES шифры?

Информация о версии: nginx 1.7.8, OpenSSL 1.0.1e

8

nginx openssl ssl

задан burnersk 12 December 2014 в 16:10

Ссылка

1 ответ

Замените "! 3DES" на "-3DES" и затем добавьте свой идентификатор набора шифров 3DES

У вас есть эта базовая строка:

$ openssl ciphers -V 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK' | nl

И на моем OpenSSL 1.0 .2d 9 июля 2015 г. это приводит к следующим 22 комплектам шифров:

  1 0xC0,0x2F - ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx = ECDH Au = RSA Enc = AESGCM (128) Mac =  AEAD
  2 0xC0,0x2B - ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx = ECDH Au = ECDSA Enc = AESGCM (128) Mac = AEAD
  3 0xC0,0x30 - ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx = ECDH Au = RSA Enc = AESGCM (256) Mac = AEAD
  4 0xC0,0x2C - ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx = ECDH Au = ECDSA Enc = AESGCM (256) Mac = AEAD
  5 0x00,0x9E - DHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx = DH Au = RSA Enc = AESGCM (128) Mac = AEAD
  6 0x00,0xA2 - DHE-DSS-AES128-GCM-SHA256 TLSv1.2 Kx = DH Au = DSS Enc = AESGCM (128) Mac = AEAD
  7 0x00,0xA3 - DHE-DSS-AES256-GCM-SHA384 TLSv1.2 Kx = DH Au = DSS Enc = AESGCM (256) Mac = AEAD
  8 0x00,0x9F - DHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx = DH Au = RSA Enc = AESGCM (256) Mac = AEAD
  9 0xC0,0x27 - ECDHE-RSA-AES128-SHA256 TLSv1.2 Kx = ECDH Au = RSA Enc = AES (128) Mac = SHA256
  10 0xC0,0x23 - ECDHE-ECDSA-AES128-SHA256 TLSv1.2 Kx = ECDH Au = ECDSA Enc = AES (128) Mac = SHA256
  11 0xC0,0x13 - ECDHE-RSA-AES128-SHA SSLv3 Kx = ECDH Au = RSA Enc = AES (128) Mac = SHA1
  12 0xC0,0x09 - ECDHE-ECDSA-AES128-SHA SSLv3 Kx = ECDH Au = ECDSA Enc = AES (128) Mac = SHA1
  13 0xC0,0x28 - ECDHE-RSA-AES256-SHA384 TLSv1.2 Kx = ECDH Au = RSA Enc = AES (256) Mac = SHA384
  14 0xC0,0x24 - ECDHE-ECDSA-AES256-SHA384 TLSv1.2 Kx = ECDH Au = ECDSA Enc = AES (256) Mac = SHA384
  15 0xC0,0x14 - ECDHE-RSA-AES256-SHA SSLv3 Kx = ECDH Au = RSA Enc = AES (256) Mac = SHA1
  16 0xC0,0x0A - ECDHE-ECDSA-AES256-SHA SSLv3 Kx = ECDH Au = ECDSA Enc = AES (256) Mac = SHA1
  17 0x00,0x67 - DHE-RSA-AES128-SHA256 TLSv1.2 Kx = DH Au = RSA Enc = AES (128) Mac = SHA256
  18 0x00,0x33 - DHE-RSA-AES128-SHA SSLv3 Kx = DH Au = RSA Enc = AES (128) Mac = SHA1
  19 0x00,0x40 - DHE-DSS-AES128-SHA256 TLSv1.2 Kx = DH Au = DSS Enc = AES (128) Mac = SHA256
  20 0x00,0x6B - DHE-RSA-AES256-SHA256 TLSv1.2 Kx = DH Au = RSA Enc = AES (256) Mac = SHA256
  21 0x00,0x38 - DHE-DSS-AES256-SHA SSLv3 Kx = DH Au = DSS Enc = AES (256) Mac = SHA1
  22 0x00,0x39 - DHE-RSA-AES256-SHA SSLv3 Kx = DH Au = RSA Enc = AES (256) Mac = SHA1

Вы можете явно исключить наборы шифров из вашего результирующего набора двумя способами:

, добавив к идентификатору префикс !
, добавив к идентификатору префикс -

] После того, как вы использовали ! , чтобы выбросить набор шифров, вы не можете повторно добавить их. Это то, что вы сделали с ! 3DES .

Вот набор, который содержит дополнительный набор, который вам нужен:

Я заменил конец строки шифра из

:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK'

на

:-3DES:EDH-DSS-DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK'

Теперь это дает 23 набора шифров:

 $ openssl ciphers -V 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:-3DES:EDH-DSS-DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK' | nl
     1            0xC0,0x2F - ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(128) Mac=AEAD
     2            0xC0,0x2B - ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AESGCM(128) Mac=AEAD
     3            0xC0,0x30 - ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(256) Mac=AEAD
     4            0xC0,0x2C - ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AESGCM(256) Mac=AEAD
     5            0x00,0x9E - DHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=DH       Au=RSA  Enc=AESGCM(128) Mac=AEAD
     6            0x00,0xA2 - DHE-DSS-AES128-GCM-SHA256 TLSv1.2 Kx=DH       Au=DSS  Enc=AESGCM(128) Mac=AEAD
     7            0x00,0xA3 - DHE-DSS-AES256-GCM-SHA384 TLSv1.2 Kx=DH       Au=DSS  Enc=AESGCM(256) Mac=AEAD
     8            0x00,0x9F - DHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=DH       Au=RSA  Enc=AESGCM(256) Mac=AEAD
     9            0xC0,0x27 - ECDHE-RSA-AES128-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA256
    10            0xC0,0x23 - ECDHE-ECDSA-AES128-SHA256 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AES(128)  Mac=SHA256
    11            0xC0,0x13 - ECDHE-RSA-AES128-SHA    SSLv3 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA1
    12            0xC0,0x09 - ECDHE-ECDSA-AES128-SHA  SSLv3 Kx=ECDH     Au=ECDSA Enc=AES(128)  Mac=SHA1
    13            0xC0,0x28 - ECDHE-RSA-AES256-SHA384 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(256)  Mac=SHA384
    14            0xC0,0x24 - ECDHE-ECDSA-AES256-SHA384 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AES(256)  Mac=SHA384
    15            0xC0,0x14 - ECDHE-RSA-AES256-SHA    SSLv3 Kx=ECDH     Au=RSA  Enc=AES(256)  Mac=SHA1
    16            0xC0,0x0A - ECDHE-ECDSA-AES256-SHA  SSLv3 Kx=ECDH     Au=ECDSA Enc=AES(256)  Mac=SHA1
    17            0x00,0x67 - DHE-RSA-AES128-SHA256   TLSv1.2 Kx=DH       Au=RSA  Enc=AES(128)  Mac=SHA256
    18            0x00,0x33 - DHE-RSA-AES128-SHA      SSLv3 Kx=DH       Au=RSA  Enc=AES(128)  Mac=SHA1
    19            0x00,0x40 - DHE-DSS-AES128-SHA256   TLSv1.2 Kx=DH       Au=DSS  Enc=AES(128)  Mac=SHA256
    20            0x00,0x6B - DHE-RSA-AES256-SHA256   TLSv1.2 Kx=DH       Au=RSA  Enc=AES(256)  Mac=SHA256
    21            0x00,0x38 - DHE-DSS-AES256-SHA      SSLv3 Kx=DH       Au=DSS  Enc=AES(256)  Mac=SHA1
    22            0x00,0x39 - DHE-RSA-AES256-SHA      SSLv3 Kx=DH       Au=RSA  Enc=AES(256)  Mac=SHA1
    23            0x00,0x13 - EDH-DSS-DES-CBC3-SHA    SSLv3 Kx=DH       Au=DSS  Enc=3DES(168) Mac=SHA1

Как включить определенный шифр SSL в то время как отключавший группу?

Замените "! 3DES" на "-3DES" и затем добавьте свой идентификатор набора шифров 3DES

Теги

Похожие вопросы