Nginx позволяют шифровать TLS_RSA_WITH_3DES_EDE_CBC_SHA

Question

Я хочу, чтобы этот шифр TLS_RSA_WITH_3DES_EDE_CBC_SHA на моем сервере, чтобы быть совместимым с руководящими NIST, я положил это на моем nginx.conf:

ssl_ciphers 'DES-CBC3-SHA:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:!aNULL:!eNULL:!EXPORT:!RC4:!MD5:!PSK:!aECDH'; 

Я думал, что я должен был поставить «DES- CBC3-SHA ', но он по-прежнему не включен для TLSv1.1 и TLS1.0

Как я могу это сделать?

Answer 1

Вы OpenSSL версия неизвестна. Но если вы используете OpenSSL 1.1.0, то этот шифр не компилируется по умолчанию, потому что он считается сломанным. Для использования этого шифрования вам понадобится пользовательская сборка OpenSSL. Для получения дополнительной информации см. SSL v3 Handshake Failure (but only in newer versions of OpenSSL).

Даже если вы действительно хотите использовать этот сломанный шифр, вы должны добавить его только в конце строки шифрования, чтобы все эти другие и более безопасные шифры стали предпочтительными, а DES-CBC3-SHA используется только как (слабый) отступать.