我的 TLS 配置中有以下内容,但我唯一的问题TLS_AES_128_GCM_SHA256是 128 位密码,我想删除它:
smtpd_tls_eecdh_grade = ultra
smtp_tls_eecdh_grade = ultra
smtpd_tls_mandatory_exclude_ciphers = MD5, DES, ADH, RC4, PSD, SRP, 3DES, eNULL, aNULL, ARIA, RSA, AES128
smtpd_tls_exclude_ciphers = MD5, DES, ADH, RC4, PSD, SRP, 3DES, eNULL, aNULL, ARIA, RSA, AES128
smtp_tls_mandatory_exclude_ciphers = MD5, DES, ADH, RC4, PSD, SRP, 3DES, eNULL, aNULL, ARIA, RSA, AES128
smtp_tls_exclude_ciphers = MD5, DES, ADH, RC4, PSD, SRP, 3DES, eNULL, aNULL, ARIA, RSA, AES128
tls_high_cipherlist = ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384
如果我尝试更改tls_high_cipherlist以某种方式禁用 TLSv1.3 密码,我不能:
tls_high_cipherlist = ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:!TLS_AES_128_GCM_SHA256
最后添加!TLS_AES_128_GCM_SHA256不起作用。我怎样才能做到这一点?即使我在最后添加了所需的密码,它也不会那样工作。
我可以通过以下方式在 Apache 上做到这一点:
SSLCipherSuite TLSv1.3 TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
但是,我在后缀中找不到与 TLSv1.3 相关的任何内容。
我的服务器支持的 TLSv1.2 密码套件:
xc030 ECDHE-RSA-AES256-GCM-SHA384 ECDH 384 AESGCM 256 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
xcca8 ECDHE-RSA-CHACHA20-POLY1305 ECDH 384 ChaCha20 256 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
x9f DHE-RSA-AES256-GCM-SHA384 DH 4096 AESGCM 256 TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS 1.3 具有强制实施密码套件 ( RFC 8446, 9.1 ),您不应尝试删除:
TLS 1.3 已经在设计上删除了所有弱密码套件(RFC 8446, 1.2),所以这不是您应该担心的事情。
从 Qualys SSL Labs Server Test获得 100%的成绩不应该是您的主要目标。他们有自己的评级指南,指定他们的得分,例如密码强度。他们已经决定 128 位密码不值得 100%,并且他们不会根据标准进行例外处理。但是,它仍然给出了 A+ 的评分。
相反,您应该关注安全性和兼容性之间的适当权衡。