He estado buscando en Hashicorp Vault para usar en mi entorno Linux. He instalado un par de certificado / clave privada en el servidor de Vault y le dije a Vault que usara TLS. Parece estar funcionando correctamente. Tengo algunas preguntas:
¿Clasificaría Vault como un servidor web HTTP?
¿Qué conjuntos de cifrado utiliza Vault de forma predeterminada?
¿Cómo puedo deshabilitar varios conjuntos de cifrado en ambos el Servidor Vault y el cliente Vault? ¿Puedo usar mod_ssl? o openssl?
Sí, el servidor Vault expone una API HTTP . Se puede ejecutar con o sin TLS.
Hay una opción de configuración para especificar las versiones permitidas de TLS para el servidor, pero no la específica suites de cifrado. Se ha solicitado este . Parece que Vault utiliza lista de conjuntos de cifrado por defecto de Go .
El cliente de Vault cli probablemente haga lo mismo. Sin embargo, para la mayoría del uso, utilizará una biblioteca específica para su idioma , y los detalles de cómo la biblioteca implementa la conexión TLS depende de ello.
Si considera que es necesario tener más control sobre los conjuntos de cifrado expuestos por el servidor, puede configurar un terminador TLS (como Nginx o HAProxy) que manejará la conexión a los clientes y luego reenviará las solicitudes desde allí al Servidor Vault (potencialmente de nuevo a través de HTTPS).
Lea otras preguntas en las etiquetas encryption tls ciphers hashicorp-vault