Связь SSL S2S, протокол и шифры
о связи между сервером и сервером S2S:
1-й сервер находится на Apache .conf:
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
SSLHonorCipherOrder on
итак, TLS1 Только .2, взято из генератора Mozilla SSL (современный)
, второй сервер использует TLS1.0, TLS1.1, TLS1.2 и шифры CBC в предпочтительном порядке
например. для TLS1.2
TLS_RSA_WITH_AES_256_CBC_SHA256 (0x3d) 256
TLS_RSA_WITH_AES_128_CBC_SHA256 (0x3c) 128
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f)
Вопросы:
1) является ли первый SSLHonorCipherOrder на проблемой? Если оба включили его, как выбирается порядок?
2) сначала при рукопожатии извлекаются протоколы, используемые обоими серверами, чтобы выбрать правильный?
3) почему на сервере нет ошибок журнал, даже если он не должен работать (я думаю ...)?
спасибо
Для вопросов 1 и 2 не должно быть проблем, если эта директива включена. Это приказ apache, который говорит: используйте предпочтительные шифры в этом порядке, будет использоваться первое доступное совпадение. Теоретически вы не должны проходить мимо TLS_RSA_WITH_AES_256_CBC_SHA256.
Но если по какой-то причине рукопожатие не удалось, можно использовать следующий шифр. Я не думаю, что вы должны получать для этого какие-либо ошибки журнала.