Поддержка прямой секретности?
Можно ли изменить шифры SSL для поддержки прямой секретности на моем сервере CentOS под управлением Apache 2.4? В настоящее время у меня установлен следующий шифр:
ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
Это дает мне рейтинг -A с помощью инструмента тестирования SSL Labs, но я получаю следующее предупреждение: браузеры. С марта 2018 года оценка будет ограничена до B.
Похоже, это предупреждение относится к IE6 / XP. Есть ли способ передать это правило с конфигурацией моего сервера? Вероятно, это не так важно, но если есть простой способ легко поддерживать устройства IE6 / XP - я тоже могу!
Это не имеет ничего общего с IE6 / XP. Если вы по-прежнему разрешаете SSLv3 или TLSv1.0, который требуется для поддержки IE6 / XP, вы не выполняете большинство тестов (включая соответствие PCI). У Qualys есть страница, посвященная их системе оценки SSL Labs .
Что касается строки набора шифров, добавление! KRSA должно сделать это. Обмен ключами RSA не обеспечивает прямой секретности.
Обычно я использую следующее.
SSLCipherSuite HIGH:!eNULL:!aNULL:!kRSA:!SRP:!PSK:!DSS:@STRENGTH
SSLHonorCipherOrder on
Openssl документирует строку параметров шифра .