¿Existe una fuente de información original que vincule la salida del informe de Qualys SSL con la configuración de las configuraciones nginx y Apache?

0

La herramienta en línea en Qualys para probar las configuraciones de SSL del servidor web, enlace , produce una lista de códigos como TLS_ECDH.P. etc.

Hay muchos procedimientos en la red, pero ninguno de ellos muestra cómo relacionar los códigos de cadena reales con los de los servidores web. Es bastante fácil usarlos, pero no se sabe cómo llegan a esos ajustes en particular.

¿Hay algún tipo de tabla que relacione los códigos con las líneas reales en las configuraciones nginx o apache ?

    
pregunta vfclists 28.06.2016 - 05:07
fuente

1 respuesta

1

Creo que está preguntando cómo asignar la configuración de la lista de cifrados openssl que puede proporcionar a Apache y a Nginx en Lista de conjuntos de cifrado IANA TLS .

openssl tiene una lista que traduce los nombres de conjuntos de cifrado entre sus nombres estándar utilizados en los RFC ( y por la herramienta Qualys) y los nombres utilizados por openssl.

Debería aprovechar la capacidad de openssl para generar una lista más larga de suites de cifrado a partir de nombres más cortos, y especificar una configuración concisa como EECDH+aRSA+AESGCM:EDH+aRSA+AESGCM:EECDH+aRSA+AES:EDH+aRSA+AES que haga que openssl genere esto:

> openssl ciphers -v 'EECDH+aRSA+AESGCM:EDH+aRSA+AESGCM:EECDH+aRSA+AES:EDH+aRSA+AES'
ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(256) Mac=AEAD
ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(128) Mac=AEAD
DHE-RSA-AES256-GCM-SHA384   TLSv1.2 Kx=DH       Au=RSA  Enc=AESGCM(256) Mac=AEAD
DHE-RSA-AES128-GCM-SHA256   TLSv1.2 Kx=DH       Au=RSA  Enc=AESGCM(128) Mac=AEAD
ECDHE-RSA-AES256-SHA384     TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(256)    Mac=SHA384
ECDHE-RSA-AES256-SHA        SSLv3   Kx=ECDH     Au=RSA  Enc=AES(256)    Mac=SHA1
ECDHE-RSA-AES128-SHA256     TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(128)    Mac=SHA256
ECDHE-RSA-AES128-SHA        SSLv3   Kx=ECDH     Au=RSA  Enc=AES(128)    Mac=SHA1
DHE-RSA-AES256-SHA256       TLSv1.2 Kx=DH       Au=RSA  Enc=AES(256)    Mac=SHA256
DHE-RSA-AES256-SHA          SSLv3   Kx=DH       Au=RSA  Enc=AES(256)    Mac=SHA1
DHE-RSA-AES128-SHA256       TLSv1.2 Kx=DH       Au=RSA  Enc=AES(128)    Mac=SHA256
DHE-RSA-AES128-SHA          SSLv3   Kx=DH       Au=RSA  Enc=AES(128)    Mac=SHA1

que es básicamente lo que desea (siempre y cuando no use certificados ECDSA y se asegure de que su DHE use un buen grupo de 2048 bits).

    
respondido por el Z.T. 15.10.2016 - 02:40
fuente

Lea otras preguntas en las etiquetas