如何从Haproxy禁用特定的密码套件?
所有的文档都说要提供一个允许"ssl默认绑定密码"的列表。我只想提供那些不被允许的。我可以这样做吗"ssl默认绑定密码无RC4-MD5">
理由:我不想把自己限制在我列入名单的那些人身上。如果客户提供了更好、更快的密码套件,我希望谈判能够顺利进行。我也不是决定哪些密码套件需要被允许的专家。我有一个要禁用的弱密码列表,我想实现这一点。
我找到了一种方法,你放!在你想要禁用的密码套件前面,这是有效的。好吧,你必须提到套房的列表,也需要没有!-这不是我想要的,但很管用。
根据下面的注释,您可以使用!指定要拒绝的密码。感谢@DivyaTV
值得注意的是,为了排除特定的密码,您必须包括您想要的密码。
例如:
ssl-default-server-ciphers ECDH+AESGCM:!ECDHE-RSA-DES-CBC3-SHA:ECDH+CHACHA20:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
另一个例子:https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/
密码:https://www.openssl.org/docs/man1.0.2/apps/ciphers.html