أمن طبقة النقل (TLS) البروتوكول هو الوسيلة الأساسية لحماية اتصالات الشبكة عبر الإنترنت. هذه المقالة عبارة عن دليل موجز لمساعدتك في تكوين خادم آمن للوفاء بالآخر TLS المعايير.
المُقدّمة
• أمن طبقة النقل (TLS) البروتوكول هو الوسيلة الأساسية لحماية اتصالات الشبكة عبر الإنترنت. انها (وسابقتها ، طبقة مآخذ توصيل آمنة أو SSL) تم استخدامه لعقود في العديد من التطبيقات ، ولكن أبرزها في المتصفحات عند زيارتها HTTPS المواقع. TLS عادة ما يعمل بهدوء في الخلفية ، ولكن على عكس ما قد يعتقده المرء ، TLS ليس صندوقًا أسود يعمل فقط. بدلا من ذلك ، الأمن TLS يوفر ينشأ من التعاون من خوارزميات التشفير المختلفة. علاوة على ذلك، TLS، مثل SSL قبله ، يتطور باستمرار مع صناعة الأمن - يجب تلبية متطلبات التكنولوجيا والأعمال الجديدة ، بينما يجب التخفيف من أحدث التهديدات الأمنية. يمكن أن تصبح الخوارزميات قديمة مع مرور الوقت ، أو يمكن التخلي عن الممارسات ، حيث يؤثر كل تغيير على الأمان العام لـ TLS مثيل (مثل تلك التي تحمي اتصالك الآن).
وقد دفع هذا التقلب منظمات المعايير المختلفة لنشر وثائق التوجيه ، بحيث يكون الحد الأدنى لخط الأساس TLS يمكن تأسيس الأمن في سوق أو قطاع أو خدمة معينة. لسوء الحظ ، هناك العديد من هذه المعايير ، مع قطاعات مختلفة تتطلب الامتثال لوثائق مختلفة قابلة للتطبيق ، في حين أن المعايير نفسها أيضا تتطور بمرور الوقت ، وتستوعب التغييرات في القطاع الذي صُممت لحمايته.
من المفهوم ، التنقل عبر هذا البحر من المعايير من أجل إعداد حديث TLS يمكن أن يكون المثال مصدر إزعاج حقيقي للمسؤولين. هذه المقالة عبارة عن دليل موجز لمساعدتك في تكوين خادم آمن ليلبي التوقعات TLS معايير عام 2021. (لمزيد من المساعدة ، قدمنا أيضًا أمثلة على تكوينات لحلول خادم الويب الأكثر شيوعًا في الملحق.)
المعايير
هناك العديد من الكيانات التي تحافظ على المبادئ التوجيهية ل TLS فيما يتعلق بأمان الشبكة ، مثل وزارة الصحة والخدمات البشرية بالولايات المتحدة (HHS) أو المعهد الوطني للمعايير والتكنولوجيا (NIST). من أجل الإيجاز ، ستدرس هذه المقالة الوثائق الثلاثة الأكثر اعتمادًا فقط:
- • قانون التأمين الصحي وقابلية التأمين (HIPAA)
- نيست إرشادات SP 800-52r2
- • بطاقة أمان صناعة بيانات الأمان القياسية (PCI DSS)
(HIPAA)
قانون نقل التأمين الصحي والمسؤولية (HIPAA) هو لائحة وضعتها حكومة الولايات المتحدة في عام 1996 بشأن التعامل الآمن مع المعلومات الصحية المحمية (PHI). تشير المعلومات الصحية المحمية (PHI) إلى أي معلومات رقمية خاصة بالمريض ، مثل نتائج الاختبار أو التشخيص. قانون HIPAA وثيقة التوجيه تم نشره في عام 2013 ينص على ما يلي:
عمليات التشفير الصالحة للبيانات المتحركة هي تلك التي تتوافق ، حسب الاقتضاء ، مع منشورات NIST الخاصة 800-52 ، إرشادات لاختيار واستخدام أمان طبقة النقل (TLS) تطبيقات. 800-77 ، دليل لشبكات IPsec VPN ؛ أو 800-113 ، دليل لشبكات SSL VPN ، أو غيرها من المعايير الفيدرالية لمعالجة المعلومات (FIPS) 140-2 المصدق عليها.
معايير NIST
في عام 2005 ، نشر المعهد القومي للمعايير والتقنية منشورًا خاصًا (SP) 800-52 ، يصف الإجراءات التشغيلية الصحيحة لتكوين آمن TLS على سبيل المثال للخوادم الحكومية. تم استبدال SP 800-52 منذ ذلك الحين بالإصدارات SP 800-52r1 (2014) و SP 80052r2 (2019). تتبع هذه المقالة إرشادات SP 800-52r2 ، وهي مستقرة حاليًا.
PCI-DSS
PCI-DSS هو معيار امتثال يحتفظ به مجلس أمن معايير صناعة بطاقات الدفع (PCI) والذي يحدد كيفية معالجة معلومات الدفع والبطاقة من خلال مواقع التجارة الإلكترونية على الويب. بخصوص التكوين الصحيح لل TLS الحالات ، تنص PCI-DSS على ما يلي:
"راجع معايير الصناعة وأفضل الممارسات للحصول على معلومات حول التشفير القوي والبروتوكولات الآمنة (على سبيل المثال NIST SP 800-52 و SP 800-57 و OWASP وما إلى ذلك)"
TLS المعايير: تجميع كل هذه
تجدر الإشارة الآن إلى أن كل معيار يؤثر على الأنظمة المختلفة ، بناءً على وظيفتها والبيانات التي تتعامل معها. على سبيل المثال ، يمكن أن يندرج خادم البريد الإلكتروني الخاص بالمستشفى تحت إرشادات HIPAA لأن الرسائل المتبادلة قد تحتوي على معلومات المريض ، في حين أن نظام CRM الخاص بالمستشفى قد يندرج تحت PCI-DSS لأنه يمكن أن يحتوي على بيانات بطاقة الائتمان وبيانات العملاء الأخرى. يتطلب الامتثال لجميع المعايير الثلاثة استخدامًا مشتركًا TLS المعلمات الموجودة في جميع الوثائق.
لحسن الحظ ، من الواضح أن جميع المعايير تتبع إرشادات NIST لاختيار TLS المعلمات. وهذا يعني أنه في وقت كتابة هذه السطور ، يجب أن يجعل التوافق مع SP 800-52r2 خادمًا متوافقًا مع HIPAA و PCI-DSS أيضًا. (حسنا ، هذا ليس كذلك بالضبط صحيح ، لكن الأمور ستصبح أكثر وضوحًا في القسم التالي.)
شكلي TLS المعلمات
مستوى الأمن ذلك TLS هو الأكثر تضررا من إصدار بروتوكول (أي 1.0 ، 1.1 ، إلخ) والمسموح به أجنحة التشفير. الشفرات هي خوارزميات تؤدي التشفير وفك التشفير. ومع ذلك ، أ مجموعة شفرات هي مجموعة من الخوارزميات ، بما في ذلك التشفير وخوارزمية تبادل المفاتيح وخوارزمية التجزئة ، والتي يتم استخدامها معًا لإنشاء نظام آمن TLS الإتصال. معظم TLS يدعم العملاء والخوادم بدائل متعددة ، لذا يتعين عليهم التفاوض عند إنشاء اتصال آمن لتحديد مشترك TLS الإصدار ومجموعة التشفير.
TLS إصدار بروتوكول
حول TLS دعم الإصدار ، تنص NIST SP 800-52r2 على ما يلي:
الخوادم التي تدعم التطبيقات الحكومية فقط سوف يتم تكوينها للاستخدام TLS و1.2 ينبغي يتم تكوينها للاستخدام TLS 1.3 كذلك. هذه الخوادم لا ينبغي يتم تكوينها للاستخدام TLS و1.1 لا يجوز تستخدم TLS 1.0 أو SSL 3.0 أو SSL 2.0.
...
الخوادم التي تدعم التطبيقات التي تواجه المواطن أو الأعمال (على سبيل المثال ، قد لا يكون العميل جزءًا من نظام تكنولوجيا المعلومات الحكومي) سوف يتم تهيئتها للتفاوض TLS و1.2 ينبغي يتم تهيئتها للتفاوض TLS 1.3. استخدام TLS لا يُنصح عمومًا بإحباط الإصدارين 1.1 و 1.0 ، ولكن قد يتم تكوين هذه الإصدارات عند الضرورة لتمكين التفاعل مع المواطنين والشركات ... هذه الخوادم لا يجوز السماح باستخدام SSL 2.0 أو SSL 3.0.
الوكالات العقارية سوف الدعم TLS 1.3 بحلول 1 يناير 2024. بعد هذا التاريخ ، الخوادم سوف الدعم TLS 1.3 لكل من التطبيقات الحكومية فقط والمواطنين أو التطبيقات التي تواجه الأعمال. بشكل عام ، الخوادم التي تدعم TLS 1.3 ينبغي يتم تكوينها للاستخدام TLS 1.2 كذلك. ومع ذلك، TLS 1.2 قد يتم تعطيله على الخوادم التي تدعم TLS 1.3 إذا تم تحديد ذلك TLS 1.2 ليست هناك حاجة للتشغيل البيني.
بينما TLS 1.0 محظور و TLS 1.1 موقوف للمواقع الحكومية ، تنص إرشادات NIST على أنه للتوافق مع خدمات الطرف الثالث ، الخوادم التي تسيطر عليها الحكومة قد تنفيذ TLS 1.0 و 1.1 عند الضرورة. ضمن PCI-DSS 3.2.1 (الإصدار الحالي) ، الخوادم المتوافقة يجب إسقاط الدعم For TLS 1.0 و "الهجرة إلى الحد الأدنى من TLS 1.1 ، ويفضل TLS 1.2. " يسمح HIPAA تقنيًا باستخدام جميع إصدارات TLS. وبالتالي فإن الحد الأدنى المدعوم بشكل عام TLS الإصدار 1.1 ؛ ومع ذلك ، يقترح PCI-DSS و NIST بشدة استخدام أكثر أمانًا TLS 1.2 (وكما رأينا أعلاه ، NIST توصي بتبني TLS 1.3 وتخطط لطلب الدعم بحلول عام 2024).
أجنحة التشفير
TLS 1.2 وما قبله
تحدد SP 800-52r2 مجموعة متنوعة من مجموعات التشفير المقبولة لـ TLS 1.2 وما قبله. لا يتطلب المعيار دعمًا لأي مجموعات تشفير معينة ، ولكنه يقدم إرشادات حول اختيار مجموعات تشفير أقوى:
- تفضل المفاتيح المؤقتة على المفاتيح الثابتة (على سبيل المثال ، تفضل DHE على DH ، وتفضل ECDHE على ECDH). توفر المفاتيح المؤقتة سرية تامة للأمام.
- تفضل أوضاع GCM أو CCM على وضع CBC. يمنع استخدام وضع التشفير المصدق العديد من الهجمات (راجع القسم 3.3.2 [من SP 800-52r2] لمزيد من المعلومات). لاحظ أن هذه ليست متوفرة في الإصدارات السابقة لـ TLS 1.2
- تفضل CCM على CCM_8. يحتوي الأخير على علامة مصادقة أقصر ، والتي توفر قوة مصادقة أقل.
علاوة على ذلك ، على الرغم من أن هذه هي مسموح به أجنحة التشفير ، إذا كان لديك TLS لا يتعامل الخادم مع مجموعة كبيرة ومتنوعة من الأنظمة الأساسية والعملاء المختلفة ، فمن المستحسن استخدام مجموعة فرعية صغيرة فقط من هذه الخوارزميات. لا يسمح السماح بمزيد من مجموعات التشفير بسطح الهجوم للخادم الخاص بك إلا إذا (أو عندما) تم اكتشاف ثغرة بروتوكول جديدة.
| مجموعات التشفير لشهادات ECDSA | ||
|---|---|---|
| TLS 1.2: | ||
| ايانا | القيم | بينسل |
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
0xC0, 0x2B |
ECDHE-ECDSA-AES128-GCM-SHA256 |
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
0xC0, 0x2C |
ECDHE-ECDSA-AES256-GCM-SHA384 |
TLS_ECDHE_ECDSA_WITH_AES_128_CCM |
0xC0, 0xAC |
ECDHE-ECDSA-AES128-CCM |
TLS_ECDHE_ECDSA_WITH_AES_256_CCM |
0xC0, 0xAD |
ECDHE-ECDSA-AES256-CCM |
TLS_ECDHE_ECDSA_WITH_AES_128_CCM_8 |
0xC0, 0xAE |
ECDHE-ECDSA-AES128-CCM8 |
TLS_ECDHE_ECDSA_WITH_AES_256_CCM_8 |
0xC0, 0xAF |
ECDHE-ECDSA-AES256-CCM8 |
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
0xC0, 0x23 |
ECDHE-ECDSA-AES128-SHA256 |
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
0xC0, 0x24 |
ECDHE-ECDSA-AES256-SHA384 |
| TLS 1.2 أو 1.1 أو 1.0: | ||
| ايانا | القيم | بينسل |
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
0xC0, 0x09 |
ECDHE-ECDSA-AES128-SHA |
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
0xC0, 0x0A |
ECDHE-ECDSA-AES256-SHA |
| مجموعات التشفير لشهادات RSA | ||
| TLS 1.2: | ||
| ايانا | القيم | بينسل |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
0xC0, 0x2F |
ECDHE-RSA-AES128-GCM-SHA256 |
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
0xC0, 0x30 |
ECDHE-RSA-AES256-GCM-SHA384 |
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
0x00, 0x9E |
DHE-RSA-AES128-GCM-SHA256 |
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
0x00, 0x9F |
DHE-RSA-AES256-GCM-SHA384 |
TLS_DHE_RSA_WITH_AES_128_CCM |
0xC0, 0x9E |
DHE-RSA-AES128-CCM |
TLS_DHE_RSA_WITH_AES_256_CCM |
0xC0, 0x9F |
DHE-RSA-AES256-CCM |
TLS_DHE_RSA_WITH_AES_128_CCM_8 |
0xC0, 0xA2 |
DHE-RSA-AES128-CCM8 |
TLS_DHE_RSA_WITH_AES_256_CCM_8 |
0xC0, 0xA3 |
DHE-RSA-AES256-CCM8 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
0xC0, 0x27 |
ECDHE-RSA-AES128-SHA256 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
0xC0, 0x28 |
ECDHE-RSA-AES256-SHA384 |
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 |
0x00, 0x67 |
DHE-RSA-AES128-SHA256 |
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 |
0x00, 0x6B |
DHE-RSA-AES256-SHA256 |
| TLS 1.2 أو 1.1 أو 1.0: | ||
| ايانا | القيم | بينسل |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
0xC0, 0x13 |
ECDHE-RSA-AES128-SHA |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
0xC0, 0x14 |
ECDHE-RSA-AES256-SHA |
TLS_DHE_RSA_WITH_AES_128_CBC_SHA |
0x00, 0x33 |
DHE-RSA-AES128-SHA |
TLS_DHE_RSA_WITH_AES_256_CBC_SHA |
0x00, 0x39 |
DHE-RSA-AES256-SHA |
| مجموعات التشفير لشهادات ECDSA | ||
| TLS 1.2: | ||
| ايانا | القيم | بينسل |
TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 |
0x00, 0xA2 |
DHE-DSS-AES128-GCM-SHA256 |
TLS_DHE_DSS_WITH_AES_256_GCM_SHA384 |
0x00, 0xA3 |
DHE-DSS-AES256-GCM-SHA384 |
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 |
0x00, 0x40 |
DHE-DSS-AES128-SHA256 |
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 |
0x00, 0x6A |
DHE-DSS-AES256-SHA256 |
| TLS 1.2 أو 1.1 أو 1.0: | ||
| ايانا | القيم | بينسل |
TLS_DHE_DSS_WITH_AES_128_CBC_SHA |
0x00, 0x32 |
DHE-DSS-AES128-SHA |
TLS_DHE_DSS_WITH_AES_256_CBC_SHA |
0x00, 0x38 |
DHE-DSS-AES256-SHA |
| مجموعات التشفير لشهادات DH | ||
| موقعة من DSA ، TLS 1.2: | ||
| ايانا | القيم | بينسل |
TLS_DH_DSS_WITH_AES_128_GCM_SHA256 |
0x00, 0xA4 |
DH-DSS-AES128-GCM-SHA256 |
TLS_DH_DSS_WITH_AES_256_GCM_SHA384 |
0x00, 0xA5 |
DH-DSS-AES256-GCM-SHA384 |
TLS_DH_DSS_WITH_AES_128_CBC_SHA256 |
0x00, 0x3E |
DH-DSS-AES128-SHA256 |
TLS_DH_DSS_WITH_AES_256_CBC_SHA256 |
0x00, 0x68 |
DH-DSS-AES256-SHA256 |
| موقعة من DSA ، TLS 1.2 أو 1.1 أو 1.0: | ||
| ايانا | القيم | بينسل |
TLS_DH_DSS_WITH_AES_128_CBC_SHA |
0x00, 0x30 |
DH-DSS-AES128-SHA |
TLS_DH_DSS_WITH_AES_256_CBC_SHA |
0x00, 0x36 |
DH-DSS-AES256-SHA |
| توقيع RSA ، TLS 1.2: | ||
| ايانا | القيم | بينسل |
TLS_DH_RSA_WITH_AES_128_GCM_SHA256 |
0x00, 0xA0 |
DH-RSA-AES128-GCM-SHA256 |
TLS_DH_RSA_WITH_AES_256_GCM_SHA384 |
0x00, 0xA1 |
DH-RSA-AES256-GCM-SHA384 |
TLS_DH_RSA_WITH_AES_128_CBC_SHA256 |
0x00, 0x3F |
DH-RSA-AES128-SHA256 |
TLS_DH_RSA_WITH_AES_256_CBC_SHA256 |
0x00, 0x69 |
DH-RSA-AES256-SHA256 |
| توقيع RSA ، TLS 1.2 أو 1.1 أو 1.0: | ||
| ايانا | القيم | بينسل |
TLS_DH_RSA_WITH_AES_128_CBC_SHA |
0x00, 0x31 |
DH-RSA-AES128-SHA |
TLS_DH_RSA_WITH_AES_256_CBC_SHA |
0x00, 0x37 |
DH-RSA-AES256-SHA |
| مجموعات التشفير لشهادات ECDH | ||
| توقيع ECDSA ، TLS 1.2: | ||
| ايانا | القيم | بينسل |
TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256 |
0xC0, 0x2D |
ECDH-ECDSA-AES128-GCM-SHA256 |
TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384 |
0xC0, 0x2E |
ECDH-ECDSA-AES256-GCM-SHA384 |
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 |
0xC0, 0x25 |
ECDH-ECDSA-AES128-SHA256 |
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384 |
0xC0, 0x26 |
ECDH-ECDSA-AES256-SHA384 |
| توقيع ECDSA ، TLS 1.2 أو 1.1 أو 1.0: | ||
| ايانا | القيم | بينسل |
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA |
0xC0, 0x04 |
ECDH-ECDSA-AES128-SHA |
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA |
0xC0, 0x05 |
ECDH-ECDSA-AES256-SHA |
| توقيع RSA ، TLS 1.2: | ||
| ايانا | القيم | بينسل |
TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256 |
0xC0, 0x31 |
ECDH-RSA-AES128-GCM-SHA256 |
TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384 |
0xC0, 0x32 |
ECDH-RSA-AES256-GCM-SHA384 |
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256 |
0xC0, 0x29 |
ECDH-RSA-AES128-SHA256 |
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384 |
0xC0, 0x2A |
ECDH-RSA-AES256-SHA384 |
| توقيع RSA ، TLS 1.2 أو 1.1 أو 1.0: | ||
| ايانا | القيم | بينسل |
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA |
0xC0, 0x0E |
ECDH-RSA-AES128-SHA |
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA |
0xC0, 0x0F |
ECDH-RSA-AES256-SHA |
TLS 1.3
TLS 1.3 لديه قائمة أقصر بكثير من مجموعات التشفير:
TLS_AES_128_GCM_SHA256 (0x13, 0x01)TLS_AES_256_GCM_SHA384 (0x13, 0x02)TLS_AES_128_CCM_SHA256 (0x13, 0x04)TLS_AES_128_CCM_8_SHA256 (0x13, 0x05)
وفي الختام
نأمل أن يساعدك هذا الدليل الموجز في فهم المزيد عنه TLS، ومساعدتك عند التكوين TLS على الخادم الخاص بك. فيما يتعلق بالمعايير والتوصيات التي ناقشناها ، يحتوي القسم التالي على مثال على التكوين الذي يجب أن تكون قادرًا على تطبيقه على حلول خادم الويب الأكثر شيوعًا. إذا كانت لديك أي أسئلة حول كيفية الحفاظ على امتثالك عبر الإنترنت ، فلا تتردد في الاتصال بنا عبر البريد الإلكتروني Support@SSL.com أو النقر على زر الدردشة الحية أسفل هذه الشاشة.
ملحق: مثال TLS تكوينات
بجمع القواعد المنصوص عليها في وثائق المواصفات الثلاثة ، يجب أن يقوم خادم آمن حديث بتنفيذها TLS 1.2 و / أو TLS 1.3 ، مع قائمة قصيرة ولكن متنوعة من مجموعات التشفير المختارة. كمرجع سريع ، نعرض أدناه أمثلة على التكوينات لخوادم الويب الأكثر شيوعًا في السوق. هذه تكوينات "وسيطة" (للأغراض العامة) تم إنشاؤها باستخدام Mozilla مولد تكوين SSL:
خادم Apache HTTP
... SSLProtocol all -SSLv3 -TLSv1 -TLSالإصدار 1.1 SSLipherSuite ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256: ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GSA-SHA384: POLY20: ECDHE-RSA-CHACHA1305-POLY20: DHE-RSA-AES1305-GCM-SHA128: DHE-RSA-AES256-GCM-SHA256 SSLHonorCipherOrder off SSLSessionTickets off
إنجن إكس
... ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384; ssl_prefer_server_ciphers off;
لايت باد
... ssl.openssl.ssl-conf-cmd = ("Protocol" => "ALL، -SSLv2، -SSLv3، -TLSالإصدار 1 ، -TLSv1.1 ") ssl.cipher-list =" ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256: ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM- SHA384: ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-RSA-CHACHA20-POLY1305: DHE-RSA-AES128-GCM-SHA256: DHE-RSA-AES256-GCM-SHA384 "ssl.honor-cipher-order =" تعطيل
HAProxy
... ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384 ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256 ssl-default-bind-options prefer-client-ciphers no-sslv3 no-tlsv10 لاtlsv11 لاtls-tickets ssl-default-server-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384 ssl-default-server-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256 ssl-default-server-options no-sslv3 no-tlsv10 لاtlsv11 لاtls-تذاكر
أوس إلب
... السياسات: - PolicyName: Mozilla-intermediate-v5-0 PolicyType: SSLNegotiationPolicyType السمات: - الاسم: Protocol-TLSv1.2 القيمة: صحيح - الاسم: قيمة طلب التشفير المحدد من الخادم: خطأ - الاسم: ECDHE-ECDSA-AES128-GCM-SHA256 القيمة: صحيح - الاسم: ECDHE-RSA-AES128-GCM-SHA256 القيمة: صحيح - الاسم: ECDHE-ECDSA-AES256-GCM-SHA384 القيمة: صحيح - الاسم: ECDHE-RSA-AES256-GCM-SHA384 القيمة: صحيح - الاسم: DHE-RSA-AES128-GCM-SHA256 القيمة: صحيح - الاسم: DHE-RSA -AES256-GCM-SHA384 القيمة: صحيح
