Ich verwende derzeit nginx mit den folgenden Chiffren:
ssl_ciphers HIGH :! aNULL :! eNULL :! LOW :! ADH :! RC4 :! 3DES :! MD5 :! EXP :! PSK :! SRP :! DSS;
Ich möchte die Kompatibilität mit älteren Browsern, insbesondere auch älteren mobilen Browsern, beibehalten und SHA1 daher nicht vollständig verbieten.
Wie kann ich erreichen, dass SHA256 gegenüber SHA1 für MAC (Message Authentication Code) bevorzugt und immer verwendet wird, wenn dies möglich ist?
Ich kann dh die Anwendung von SHA256 erzwingen, indem ich SHA256 :! SHA: zu meiner Zeichenfolge ssl_ciphers hinzufüge, aber Dies würde auch SHA1 vollständig verbieten.
Mit der ssl_cipher am Anfang wird jedoch tendenziell nur SHA1 verwendet. Irgendwelche Empfehlungen?
Update 29.12.2014
Vielen Dank an alle für die konstruktiven Beiträge und Diskussionen.
Auch wenn ich Ich denke immer noch, dass die Mozilla-Seite auf serverseitigem TLS das Thema insgesamt recht gut abdeckt - ich würde nur die moderne Kompatibilität mit der Einschränkung empfehlen, dass die DSS-Chiffren daraus entfernt werden sollten und ausdrücklich verboten (! DSS), wie im Kommentar von Anti-Schwachkennwörtern empfohlen - danke, dass Sie es entdeckt haben.
ECDHE-RSA-AES128-GCM-SHA256: ECDHE-ECDSA-AES128-GCM- SHA256: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-ECDSA-AES256-GCM-SHA384: DHE-RSA-AES128-GCM-SHA256: KEDH + AESGCM: ECDHE-RSA-AES128-SHA256: ECDHE8 SHA256: ECDHE-RSA-AES128-SHA: ECDHE-ECDSA-AES128-SHA: ECDHE-RSA-AES256-SHA384: ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA: ECDHE-ECDSA-AES6: DHE-RSA-AES128-SHA256: DHE-RSA-AES128-SHA: DHE-RSA-AES256-SHA256: DHE-RSA-AES256-SHA :! ANULL :! ENULL :! EXPORT :! DSS :! DES :! RC4: ! 3DES :! MD5 :! PSK
Interestin gly ssllabs hat dies nicht alarmiert oder verringert ...
Außerdem bevorzuge ich die Verwendung von benutzerdefinierten Diffie Hellman-Parametern. Auch wenn die Standard offensichtlich als sicher gelten. Was sind die OpenSSL-Standard-Diffie-Hellmann-Parameter (Primzahlen)?
openssl dhparam -check -out /etc/ssl/private/dhparams.pem 2048
Erhöhen Sie diesen Wert für Paranoia und Spaß auf 4096, wenn Sie möchten.