Selección de conjunto de cifrado para compatibilidad con http / 2 y TLS 1.0-1.2

Question

Selección de conjunto de cifrado para compatibilidad con http / 2 y TLS 1.0-1.2

#1 de dsign (1 votos)
#2 de DIYGUY (1 votos)

1

He intentado configurar mi sitio para que sea compatible con http / 2, pero seguí teniendo que eliminar las suites de cifrado debido a la lista negra. Finalmente, conseguí que la lista se redujera lo suficiente.

El problema, sin embargo, es que ahora solo tengo una suite de cifrado compatible con TLS 1.2. Me encantaría usar esto, pero no es práctico, ya que rompe las versiones de Safari como nuevas con OS X 10.10 porque solo son compatibles con las suites CBC.

¿Alguna idea sobre qué hacer para tener una compatibilidad razonable y, sin embargo, admitir HTTP / 2?

Actualmente, la lista es AESGCM+EECDH:AESGCM+EDH:!SHA1:!DSS:!DSA:!ECDSA:!aNULL

cipher-selection http2

pregunta Yet Another User 20.03.2016 - 08:11

fuente

2 respuestas

Lea otras preguntas en las etiquetas cipher-selection http2

Escaneando una red externa en busca de hosts activos usando Nmap o Hping3 Kali Linux metasploit y ataque de Android con PAYLOAD

score 1 · Answer 1

1

Eche un vistazo a la lista de suites (y al pedido) que admite enlace , estoy bastante seguro de que el sitio funciona en Mac OX X y iOS. Puede utilizar las herramientas SSL de Qualys para obtener la lista.

respondido por el dsign 20.03.2016 - 08:23

fuente

score 1 · Answer 2

La especificación de cifrado más ampliamente utilizada y aceptada, o conjunto de conjuntos de cifrado diseñado para HTTP / 2 fue originalmente provista por el líder en la industria de CDN y el gigante de la web CloudFlare, que publicó la configuración de protocolo y cifrado SSL desde su configuración nginx.

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
ssl_prefer_server_ciphers on;

De He visto esta referencia en varias ubicaciones como un buen punto de inicio, o un conjunto predeterminado diseñado para HTTP / 2 que luego se ajusta a las necesidades de sus servidores / clientes. Inmediatamente, muchos pueden optar por no admitir TLS 1.0 debido a la vulnerabilidad de ataque BEAST.