Encryption EnvoyProxy、Diffie-Hellman密钥和ssl安全
我正在尝试在我的服务器上获得+100%的ssl实验室排名。 当我使用Nginx时,我可以在配置(ssl_dhparam)中设置Diffie-Hellman-key 现在我迁移到了EnvoyProxy,但我找不到指定Diffie-Hellman键的方法 特使使用BoringSSL而不是OpenSSL。 我研究了BoringSSL的代码,其中有Diffie Hellman的参考资料,但特使没有Encryption EnvoyProxy、Diffie-Hellman密钥和ssl安全,encryption,envoyproxy,boringssl,Encryption,Envoyproxy,Boringssl,我正在尝试在我的服务器上获得+100%的ssl实验室排名。 当我使用Nginx时,我可以在配置(ssl_dhparam)中设置Diffie-Hellman-key 现在我迁移到了EnvoyProxy,但我找不到指定Diffie-Hellman键的方法 特使使用BoringSSL而不是OpenSSL。 我研究了BoringSSL的代码,其中有Diffie Hellman的参考资料,但特使没有 你怎么想?特使是否比其他反向代理更不安全?进一步调查后,我发现BoringSSL没有实现使用Diffie
你怎么想?特使是否比其他反向代理更不安全?进一步调查后,我发现BoringSSL没有实现使用Diffie Hellman(DH)的削片机,但这并不意味着它更不安全或其他什么 我无法获得100%的SSL评级,因为目前只有少数几个“安全”的芯片,而且它们并没有在所有旧的参考浏览器上实现,因此,我必须处理真实的情况 TLS中的所有CBC模式密码都容易受到Lucky 13攻击,因为加密和MAC之间的顺序存在缺陷。ECDHE-ECDSA-AES256-SHA384和ECDHE-RSA-AES256-SHA384(标准名称为TLS_ECDHE_ECDSA_和_AES_256_CBC_SHA384以及TLS_ECDHE_RSA_和_AES_CBC_SHA384)将HMAC-SHA-1切换为HMAC-SHA-384,但SHA-1不是这些密码的主要问题 TLS 1.2中唯一的强密码套件是ECDHE与AEAD批量密码(一个基于AES-GCM或ChaCha20-Poly1305)配对。其他一切都是遗留下来的,应该随着时间的推移逐步淘汰 这是我的配置:
tls_params:
tls_maximum_protocol_version: TLSv1_3
tls_minimum_protocol_version: TLSv1_2
cipher_suites: [
"ECDHE-RSA-CHACHA20-POLY1305",
"ECDHE-RSA-AES256-GCM-SHA384",
"ECDHE-RSA-AES256-SHA"
]
ecdh_curves: [
"P-256"
]
我保存ECDHE-RSA-AES256-SHA用于兼容性目的。进一步调查后,我发现BoringSSL没有实现使用Diffie-Hellman(DH)的削片机,但这并不意味着它不太安全或其他 我无法获得100%的SSL评级,因为目前只有少数几个“安全”的芯片,而且它们并没有在所有旧的参考浏览器上实现,因此,我必须处理真实的情况 TLS中的所有CBC模式密码都容易受到Lucky 13攻击,因为加密和MAC之间的顺序存在缺陷。ECDHE-ECDSA-AES256-SHA384和ECDHE-RSA-AES256-SHA384(标准名称为TLS_ECDHE_ECDSA_和_AES_256_CBC_SHA384以及TLS_ECDHE_RSA_和_AES_CBC_SHA384)将HMAC-SHA-1切换为HMAC-SHA-384,但SHA-1不是这些密码的主要问题 TLS 1.2中唯一的强密码套件是ECDHE与AEAD批量密码(一个基于AES-GCM或ChaCha20-Poly1305)配对。其他一切都是遗留下来的,应该随着时间的推移逐步淘汰 这是我的配置:
tls_params:
tls_maximum_protocol_version: TLSv1_3
tls_minimum_protocol_version: TLSv1_2
cipher_suites: [
"ECDHE-RSA-CHACHA20-POLY1305",
"ECDHE-RSA-AES256-GCM-SHA384",
"ECDHE-RSA-AES256-SHA"
]
ecdh_curves: [
"P-256"
]