Nginx的允許密碼TLS_RSA_WITH_3DES_EDE_CBC_SHA

Question

我想讓我的服務器上這個密碼TLS_RSA_WITH_3DES_EDE_CBC_SHA爲符合NIST的指導方針，我把這個在我的nginx.conf：

ssl_ciphers 'DES-CBC3-SHA:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:!aNULL:!eNULL:!EXPORT:!RC4:!MD5:!PSK:!aECDH'; 

我想，我不得不把「DES- CBC3-SHA」，但它仍然不是TLSv1.1啓用和TLS1.0

我怎麼能這樣做呢？

Answer 1

您OpenSSL的版本是未知的。但是如果你使用OpenSSL 1.1.0，那麼默認情況下這個密碼不會被編譯，因爲它被認爲是破壞的。你將需要定製一個OpenSSL來使用這個密碼。欲瞭解更多詳情，請參閱SSL v3 Handshake Failure (but only in newer versions of OpenSSL)。

即使你真的想要使用這個破解密碼，你應該只在密碼字符串的末尾添加它，這樣所有這些其他的和更安全的密碼纔會被首選，而DES-CBC3-SHA只能被用作（弱） 倒退。