Apache OpenSSL 1.1.1它只支持5个密码中的3个TLS 1.3

通过使用ApacheWeb服务器和OpenSSL 1.1.1，我有一个简单的站点。我已经按照它应该的方式配置了所有内容，问题是当TLS_AES_256_GCM_SHA384、TLS_CHACHA20_POLY1305_SHA256、TLS_AES_128_GCM_SHA256显示选择加密的其他两个TLS_AES_128_CCM_8_SHA256时，TLS_AES_128_CCM_SHA256显示错误

在这里，我只改变了密码，它没有选择其他任何东西，因为前三个密码是有效的

然后我还去检查openssl.exe是否有任何问题。我发现最后两个密码不受支持/或不在密码列表中

如何将最后两个密码添加到列表中，以便使用它们？或者有什么我需要补充的，以便我可以使用它们？我用这个来测试。 任何帮助都将受到感谢。对不起，我的英语不好。

根据

OpenSSL实现了对五个TLSv1.3密码套件的支持，如下所示： 如下:

• TLS_AES_256_GCM_SHA384
• TLS_CHACHA20_Poly 1305_SHA256
• TLS_AES_128_GCM_SHA256
• TLS_AES_128_CCM_8_SHA256
• TLS_AES_128_CCM_SHA256

由于密码适用于 TLSv1.2及以下版本和TLSv1.3工作的密码套件 在OpenSSL中的配置也不同

默认情况下，上述密码套件中的前三个由启用 违约这意味着，如果没有显式密码套件 配置之后，您将自动使用这三个选项，并且 能够谈判TLSv1.3。请注意，更改TLSv1.2及以下版本 密码列表对TLSv1.3密码套件配置没有影响

因此，如果您只是运行

openssl密码

，那么您将只使用默认密码列表，而不会看到最后两个密码

但是，如果您明确要求它们（使用TLSv1.3的新

密码套件

选项），那么如果您的OpenSSL版本支持它们，您将看到它们：

openssl ciphers -tls1_3 -v -s -ciphersuites TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_128_CCM_8_SHA256:TLS_AES_128_CCM_SHA256

TLS_AES_256_GCM_SHA384  TLSv1.3 Kx=any      Au=any  Enc=AESGCM(256) Mac=AEAD
TLS_CHACHA20_POLY1305_SHA256 TLSv1.3 Kx=any      Au=any  Enc=CHACHA20/POLY1305(256) Mac=AEAD
TLS_AES_128_GCM_SHA256  TLSv1.3 Kx=any      Au=any  Enc=AESGCM(128) Mac=AEAD
TLS_AES_128_CCM_8_SHA256 TLSv1.3 Kx=any      Au=any  Enc=AESCCM8(128) Mac=AEAD
TLS_AES_128_CCM_SHA256  TLSv1.3 Kx=any      Au=any  Enc=AESCCM(128) Mac=AEAD

您还需要一个ECDSA证书，而不是通常的RSA证书，才能使用此处讨论的最后两个密码：

---

也不知道有任何浏览器实现了这些CCM密码，因此不确定当前通过该密码进行连接时会使用什么，即使您确实进行了整理以使其正常工作。

感谢您在第一篇文章中写得很好。如果您将这些图片作为文本共享，效果也会更好。通过这种方式，人们也可以轻松搜索并在他们的本地创建您的环境。哦，我的上帝，我不知道命令，以确保它们都包括在内，谢谢！我猜错误在于我使用RSA证书，需要更改，我会让您知道。我用它们来测试加载一个站点的时间。我做的和你在firefox上发布的主题完全一样，并得到这个错误：SSL\u错误\u NO\u密码\u重叠。当在浏览器上写入时：它将我抛出，站点写入时它工作，但当我重新格式化它时，它显示：SSL\u ERROR\u NO\u CYPHER\u重叠，因此.conf文件中一定有错误？正如我所说，没有浏览器支持CCM密码。Firefox支持的密码列表，请参见此处：那么其他浏览器也一样吗？这是我的文凭…我不知道有任何浏览器支持这一点。SSLLabs有一个非常好的常用浏览器列表：