我正在尝试在服务器上获得 100%SSL实验室的排名。当我有nginx时,我可以在config(ssl_dhparam(中设置 diffie hellman键。
现在,我迁移到 EnvoyProxy ,但我找不到一种指定Diffie Hellman键的方法。
Envoy使用 Boringssl 不是 openssl 。我挖掘了boringssl的守则,它有Diffie Hellman的参考,但是Envoy不要。
您的想法?Envoy不太安全,其他反向代理?
进一步调查后,我发现Boringssl不会实现使用Diffie Hellman(DH(的芯片,但这并不意味着它不太安全或其他任何内容。
我无法获得100%的SSL评级,因为当前只有一些"安全"的芯片,并且在所有旧参考浏览器上都没有实现,因此,我必须处理真实的故事。
由于加密和MAC之间的订购缺陷,TLS中的所有CBC模式密码都容易受到幸运13攻击的影响。ECDHE-ECDSA-AES256-SHA384和ECDHE-RSA-AES256-SHA384(标准名称为tls_ecdhe_ecdhe_ecdsa_with_aes_aes_aes_aes_aes_cbc_cbc_sha384和tls_ecdhe_ecdhe_ecdhe_with_with_with_hhahahahahahahahahahahahhhahy4444444444444444444444444444434 384,但是SHA-1并不是这些密码的主要问题。/p>
TLS 1.2中唯一强的密码套件与Aead散装密码配对(一个基于AES-GCM或CHACHA20-POLY1305(。其他一切都是遗产,应随着时间的流逝而逐步淘汰。
这是我的配置:
tls_params:
tls_maximum_protocol_version: TLSv1_3
tls_minimum_protocol_version: TLSv1_2
cipher_suites: [
"ECDHE-RSA-CHACHA20-POLY1305",
"ECDHE-RSA-AES256-GCM-SHA384",
"ECDHE-RSA-AES256-SHA"
]
ecdh_curves: [
"P-256"
]
我将ECDHE-RSA-AES256-SHA保留为兼容。