Selección de conjunto de cifrado para compatibilidad con http / 2 y TLS 1.0-1.2

1

He intentado configurar mi sitio para que sea compatible con http / 2, pero seguí teniendo que eliminar las suites de cifrado debido a la lista negra. Finalmente, conseguí que la lista se redujera lo suficiente.

El problema, sin embargo, es que ahora solo tengo una suite de cifrado compatible con TLS 1.2. Me encantaría usar esto, pero no es práctico, ya que rompe las versiones de Safari como nuevas con OS X 10.10 porque solo son compatibles con las suites CBC.

¿Alguna idea sobre qué hacer para tener una compatibilidad razonable y, sin embargo, admitir HTTP / 2?

Actualmente, la lista es AESGCM+EECDH:AESGCM+EDH:!SHA1:!DSS:!DSA:!ECDSA:!aNULL

    
pregunta Yet Another User 20.03.2016 - 08:11
fuente

2 respuestas

1

Eche un vistazo a la lista de suites (y al pedido) que admite enlace , estoy bastante seguro de que el sitio funciona en Mac OX X y iOS. Puede utilizar las herramientas SSL de Qualys para obtener la lista.

    
respondido por el dsign 20.03.2016 - 08:23
fuente
1

La especificación de cifrado más ampliamente utilizada y aceptada, o conjunto de conjuntos de cifrado diseñado para HTTP / 2 fue originalmente provista por el líder en la industria de CDN y el gigante de la web CloudFlare, que publicó la configuración de protocolo y cifrado SSL desde su configuración nginx.

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
ssl_prefer_server_ciphers on;

De He visto esta referencia en varias ubicaciones como un buen punto de inicio, o un conjunto predeterminado diseñado para HTTP / 2 que luego se ajusta a las necesidades de sus servidores / clientes. Inmediatamente, muchos pueden optar por no admitir TLS 1.0 debido a la vulnerabilidad de ataque BEAST.

    
respondido por el DIYGUY 16.05.2016 - 03:56
fuente

Lea otras preguntas en las etiquetas