在istio1.5.1中,当我尝试使用以下语法将特定的密码套装添加到gateway的tls部分时:
minProtocolVersion: TLSV1_3
mode: SIMPLE
cipherSuites: [TLS_AES_128_GCM_SHA256]
我在 istio-ingress pod 的日志中收到以下错误:
[Envoy (Epoch 0)] [2020-06-08 15:15:44.033][22][warning][config] [external/envoy/source/common/config/grpc_subscription_impl.cc:87]
gRPC config for type.googleapis.com/envoy.api.v2.Listener rejected:
Error adding/updating listener(s) 0.0.0.0_443: Failed to initialize cipher suites TLS_AES_128_GCM_SHA256.
The following ciphers were rejected when tried individually: TLS_AES_128_GCM_SHA256
如果我从tls部分删除cipherSuites行,则没有错误,并且相同的密码套装出现在有效密码套装列表中。
有什么建议吗?谢谢
据我签入特使文档和无聊的SSL文档
<小时 />TLS 1.3 密码不参与此机制,而是具有 内置首选项顺序。设置密码列表的函数不影响 TLS 1.3、查询密码列表的函数不包括TLS 1.3 密码。
cipher_suites
如果指定,TLS 侦听器将仅在协商 TLS 1.0-1.2 时支持指定的密码列表(此设置在协商 TLS 1.3 时不起作用(。如果未指定,将使用默认列表。
在非 FIPS 版本中,默认密码列表为:
[ECDHE-ECDSA-AES128-GCM-SHA256|ECDHE-ECDSA-CHACHA20-POLY1305]
[ECDHE-RSA-AES128-GCM-SHA256|ECDHE-RSA-CHACHA20-POLY1305]
ECDHE-ECDSA-AES128-SHA
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-SHA
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA
ECDHE-RSA-AES256-SHA
AES256-GCM-SHA384
AES256-SHA
在使用BoringSSL FIPS的构建中,默认密码列表为:
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-SHA
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA
ECDHE-RSA-AES256-SHA
AES256-GCM-SHA384
AES256-SHA
另外看看这个github问题。