Nginx的允许密码TLS_RSA_WITH_3DES_EDE_CBC_SHA

Question

我想让我的服务器上这个密码TLS_RSA_WITH_3DES_EDE_CBC_SHA为符合NIST的指导方针，我把这个在我的nginx.conf：

ssl_ciphers 'DES-CBC3-SHA:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:!aNULL:!eNULL:!EXPORT:!RC4:!MD5:!PSK:!aECDH'; 

我想，我不得不把“DES- CBC3-SHA”，但它仍然不是TLSv1.1启用和TLS1.0

我怎么能这样做呢？

Answer 1

您OpenSSL的版本是未知的。但是如果你使用OpenSSL 1.1.0，那么默认情况下这个密码不会被编译，因为它被认为是破坏的。你将需要定制一个OpenSSL来使用这个密码。欲了解更多详情，请参阅SSL v3 Handshake Failure (but only in newer versions of OpenSSL)。

即使你真的想要使用这个破解密码，你应该只在密码字符串的末尾添加它，这样所有这些其他的和更安全的密码才会被首选，而DES-CBC3-SHA只能被用作（弱） 倒退。