Servidor negociado HTTP / 2 con un paquete en lista negra

5

Entiendo que hay bastantes publicaciones con respecto a mi mensaje de error, y las he visto sin suerte para resolver mi propio problema.

Esencialmente, ciertos navegadores web no pueden cargar mi sitio debido a las siguientes suites en lista negra

  

Servidor negociado HTTP / 2 con paquete en lista negra

     

TLS_RSA_WITH_AES_256_CBC_SHA

     

TLS_RSA_WITH_AES_256_GCM_SHA384

Mis configuraciones de Nginx contienen lo siguiente

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!DH:!ECDH:!CAMELLIA:!SRP:!PSK:!MD5:!KRB5;

¿Qué se debe cambiar en mis ssl_ciphers? O, ¿qué recursos puedo ver que me den una dirección?

    
pregunta Jeffrey Wen 21.03.2017 - 19:30
fuente

1 respuesta

3

Estos trajes se incluyen en la lista de conjuntos de cifrados prohibidos por HTTP / 2 definidos en RFC 7540 .

Dado que AES-GCM y RSA aún disfrutan de una buena reputación, la debilidad restante de la segunda suite es que no ofrece confidencialidad hacia adelante.

La especificación confirma esto:

  

Esta lista incluye las suites de cifrado que no ofrecen un intercambio de clave efímero [esto descarta ambas suites] y las que se basan en el nulo de TLS, transmitir, o bloquear el tipo de cifrado [esto descarta TLS_RSA_WITH_AES_256_CBC_SHA]

En tu cadena de configuración veo !DH y, lo que es más importante, !ECDH , que deshabilita todo tipo de suites Diffie-Hellman, incluida la efímera Diffie-Hellman, que es la forma en que SSL logra el secreto hacia adelante.

  

ECDH

     

conjuntos de cifrado que utilizan el intercambio de claves ECDH, incluyendo ECDH anónimo, efímero y fijo.

Por lo tanto, la solución es permitir la curva elíptica efímera Diffie-Hellman (ECDHE)

    
respondido por el CodesInChaos 22.03.2017 - 14:58
fuente

Lea otras preguntas en las etiquetas