A szállítási réteg biztonsága (TLS) protokoll az internetes hálózati kommunikáció elsődleges eszköze. Ez a cikk egy rövid útmutató, amely segít a biztonságos kiszolgáló konfigurálásában az aktuális követelményeknek megfelelően TLS szabványoknak.
Bevezetés
A A közlekedési réteg biztonsága (TLS) A protokoll az elsődleges eszköz az internetes hálózati kommunikáció védelmére. Ez (és elődje, Biztonságos socket réteg vagy SSL) évtizedek óta használják sok alkalmazásban, de főleg a böngészőkben, amikor felkeresik őket HTTPS honlapok. TLS általában csendesen működik a háttérben, de ellentétben azzal, amit gondolhatunk, TLS nem egy fekete doboz, amely csak működik. Inkább a biztonság TLS szolgáltatása különféle kriptográfiai algoritmusok együttműködéséből származik. Ráadásul, TLS, mint előtte az SSL, folyamatosan fejlődik a biztonsági iparral együtt - meg kell felelni az új technológiának és az üzleti követelményeknek, ugyanakkor a legújabb biztonsági fenyegetéseket is enyhíteni kell. Az algoritmusok idővel elavulhatnak, vagy elhagyhatók a gyakorlatok, és minden változás befolyásolja a TLS példány (mint például az, amely jelenleg védi a kapcsolatot).
Ez a volatilitás arra ösztönözte a különféle szabványügyi szervezeteket, hogy az iránymutatásokat tartalmazó dokumentumokat tegyék közzé, hogy minimális kiindulási alap legyen a TLS a biztonságot egy adott piacon, ágazatban vagy szolgáltatásban meg lehet valósítani. Sajnos számos ilyen szabvány létezik, amelyek különböző ágazatokban megkövetelik a különféle alkalmazandó dokumentumoknak való megfelelést, miközben maguk a szabványok Is az idő múlásával fejlődik, figyelembe véve az ágazat változásait, amelyek védelmére azokat tervezték.
Érthető módon a szabványok ezen a tengeren való navigálás a modern felépítése érdekében TLS példány igazi fejfájást okozhat az adminisztrátoroknak. Ez a cikk egy rövid útmutató, amely segít a biztonságos kiszolgáló beállításában az elvárásoknak megfelelően TLS (További segítségért a legnépszerűbb webszerver-megoldások példakonfigurációit is megadtuk függelék.)
A szabványok
Számos entitás tartja fenn az irányelveket TLS a hálózati biztonság tekintetében, például az Egyesült Államok Egészségügyi és Humán Szolgáltatási Minisztériuma (HHS) vagy a Nemzeti Szabványügyi és Technológiai Intézet (NIST). A rövidség kedvéért ez a cikk csak a három leginkább elfogadott dokumentumot tanulmányozza:
- A Egészségbiztosítási hordozhatósági és elszámoltathatósági törvény (HIPAA)
- NIST SP 800-52r2 irányelvek
- A Fizetési kártya ipari adatbiztonsági szabvány (PCI-DSS)
HIPAA
A HIPAA az Egyesült Államok kormánya által 1996-ban elfogadott rendelet, amely az Egyesült Államok kormányának biztonságos kezelésére irányul Védett egészségügyi információk (PHI). A PHI minden digitális beteginformációra utal, például a teszt eredményeire vagy a diagnózisaira. Egy HIPAA útmutató dokumentum 2013-ban megjelent a következőket mondja ki:
A mozgásban lévő adatok érvényes titkosítási folyamatai megfelelnek a NIST Special Publications 800-52, Útmutatók a szállítási réteg biztonságának kiválasztásához és használatához (TLS) Megvalósítások; 800–77, Útmutató az IPsec VPN-ekhez; vagy 800-113, Útmutató az SSL VPN-ekhez, vagy mások, amelyek szövetségi információfeldolgozási szabványok (FIPS) 140-2 validáltak.
NIST szabványok
2005-ben a NIST 800-52 különpublikációt tett közzé, amely leírja a helyes működési eljárásokat a TLS például a kormányzati szerverek számára. Az SP 800-52-et azóta az SP 800-52r1 (2014) és az SP 80052r2 (2019) verzió váltotta fel. Ez a cikk az SP 800-52r2 irányelveit követi, amely jelenleg stabil.
PCI-DSS
A PCI-DSS egy megfelelési szabvány, amelyet a Fizetési Kártyaipar (PCI) Szabványügyi Biztonsági Tanácsa (SSC) tart fenn, és amely meghatározza, hogy az e-kereskedelem webhelyei miként kezelik a fizetési és kártyainformációkat. A TLS példányok, a PCI-DSS kimondja:
"Az erős titkosítással és a biztonságos protokollokkal kapcsolatos információkért lásd az ipari szabványokat és a bevált módszereket (pl. NIST SP 800-52 és SP 800-57, OWASP stb.)"
TLS szabványok: ezeket összesítve
Mostanra meg kell jegyezni, hogy mindegyik szabvány különböző rendszereket érint, funkciójuk és az általuk kezelt adatok alapján. Például egy kórházi e-mail szerver a HIPAA irányelvek hatálya alá eshet, mivel a kicserélt üzenetek tartalmazhatnak betegadatokat, míg a kórház CRM rendszere a PCI-DSS alá tartozik, mivel tartalmazhat hitelkártya és egyéb ügyféladatokat. Mindhárom szabványnak való megfeleléshez közös használatra lenne szükség TLS paraméterek vannak jelen az összes dokumentumban.
Szerencsére nyilvánvaló, hogy minden szabvány követi a NIST útmutatásait a kiválasztáshoz TLS paramétereket. Ez azt jelenti, hogy ennek az írásnak a pillanatában, ha megfelel az SP 800-52r2 szabványnak, a szervert a HIPAA és a PCI-DSS szabványoknak is megfelelővé kell tenni. (Oké, nem az pontosan igaz, de a dolgok világosabbá válnak a következő szakaszban.)
beállítható TLS paraméterek
A biztonság szintje TLS A szolgáltatást leginkább a protokoll verziója (azaz 1.0, 1.1, stb.) és az engedélyezett titkosító lakosztályok. A titkosítók algoritmusok, amelyek titkosítást és visszafejtést végeznek. Azonban a rejtjelkészlet egy algoritmuskészlet, beleértve egy rejtjelet, kulcscserélő algoritmust és egy kivonatoló algoritmust, amelyeket együttesen használnak egy biztonságos TLS kapcsolat. A legtöbb TLS az ügyfelek és a kiszolgálók többféle alternatívát támogatnak, ezért tárgyalniuk kell egy biztonságos kapcsolat létrehozásakor a közös kiválasztása érdekében TLS verzió és rejtjelkészlet.
TLS protokoll verziója
Vonatkozó TLS A NIST SP 800-52r2 verzió támogatása a következőket tartalmazza:
Kiszolgálók, amelyek csak a kormányzati alkalmazásokat támogatják köteles használatra kell konfigurálni TLS 1.2 és kellene használatra kell konfigurálni TLS 1.3 is. Ezek a szerverek nem kellene használatra kell konfigurálni TLS 1.1 és nem kéne használ TLS 1.0, SSL 3.0 vagy SSL 2.0.
...
Kiszolgálók, amelyek támogatják az állampolgárok vagy az üzleti célú alkalmazásokat (azaz az ügyfél nem lehet része a kormányzati informatikai rendszernek) köteles konfigurálni kell tárgyalni TLS 1.2 és kellene konfigurálni kell tárgyalni TLS 1.3. A ... haszna TLS Az 1.1 és 1.0 verzió általában nem ajánlott, de ezek a verziók szükség esetén konfigurálhatók a polgárokkal és a vállalkozásokkal való interakció lehetővé tétele érdekében. nem kéne engedélyezze az SSL 2.0 vagy az SSL 3.0 használatát.
ügynökségek köteles támogatás TLS 1.3 1. január 2024-ig. Ezen időpont után szerverek köteles támogatás TLS 1.3 mind a csak kormányzati, mind pedig a polgárok vagy vállalkozások számára készült alkalmazásokhoz. Általában támogató szerverek TLS 1.3 kellene használatra kell konfigurálni TLS 1.2 is. Azonban, TLS Az 1.2 lehet tiltva a támogató szervereken TLS 1.3. Ha azt megállapították TLS Az 1.2-re nincs szükség az interoperabilitáshoz.
Míg TLS Az 1.0 tilos és TLS Az 1.1 a kormányzati helyszíneken elavult, a NIST iránymutatásai szerint a harmadik féltől származó szolgáltatásokkal való kompatibilitás érdekében kormány által irányított szerverek lehet végre TLS 1.0 és 1.1, ha szükséges. A PCI-DSS 3.2.1 (a jelenlegi verzió) alatt kompatibilis szerverek le kell hagynia a támogatást mert TLS 1.0 és „minimumra vándorolnak TLS 1.1, előnyösen TLS 1.2. ” A HIPAA technikailag lehetővé teszi a TLS. Így a minimum általánosan támogatott TLS verzió 1.1; a PCI-DSS és a NIST azonban határozottan javasolja a biztonságosabbak használatát TLS 1.2 (és a fentiek szerint a NIST javasolja a TLS És tervezi, hogy 1.3-ig támogatást igényel).
Cipher lakosztályok
TLS 1.2 és korábbi
Az SP 800-52r2 számos elfogadható rejtjelkészletet határoz meg TLS 1.2 és korábbi. A szabvány nem igényel támogatást egyetlen titkosító csomag számára sem, de útmutatást nyújt az erősebbek kiválasztásához:
- Előnyben részesítsék az efemer kulcsokat a statikus billentyűkkel szemben (azaz inkább a DHE-t részesítsék előnyben a DH helyett, és inkább az ECDHE-t az ECDH helyett). Az ideiglenes billentyűk tökéletes titoktartást biztosítanak.
- A GCM vagy CCM módokat részesítse előnyben a CBC móddal szemben. A hitelesített titkosítási mód használata megakadályozza a több támadást (további információkért lásd az [SP 3.3.2-800r52 SP 2 szakaszát]). Ne feledje, hogy ezek nem érhetők el a (z) előtti verziókban TLS 1.2.
- A CCM_8 helyett a CCM-et részesítse előnyben. Ez utóbbi rövidebb hitelesítési címkét tartalmaz, amely alacsonyabb hitelesítési erőt biztosít.
Továbbá, bár ezek a engedélyezett titkosító lakosztályok, ha a TLS A szerver nem foglalkozik sokféle platformon és ügyféllel, ezért ajánlott, hogy ezeknek az algoritmusoknak csak kis részhalmazát használják. Több titkosító csomag engedélyezése csak akkor bővítheti a támadási felületet szerverén, ha (vagy amikor) új protokoll sebezhetőséget fedez fel.
Cipher Suites ECDSA tanúsítványokhoz | ||
---|---|---|
TLS 1.2: | ||
IANA | Érték | OpenSSL |
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
0xC0, 0x2B |
ECDHE-ECDSA-AES128-GCM-SHA256 |
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
0xC0, 0x2C |
ECDHE-ECDSA-AES256-GCM-SHA384 |
TLS_ECDHE_ECDSA_WITH_AES_128_CCM |
0xC0, 0xAC |
ECDHE-ECDSA-AES128-CCM |
TLS_ECDHE_ECDSA_WITH_AES_256_CCM |
0xC0, 0xAD |
ECDHE-ECDSA-AES256-CCM |
TLS_ECDHE_ECDSA_WITH_AES_128_CCM_8 |
0xC0, 0xAE |
ECDHE-ECDSA-AES128-CCM8 |
TLS_ECDHE_ECDSA_WITH_AES_256_CCM_8 |
0xC0, 0xAF |
ECDHE-ECDSA-AES256-CCM8 |
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
0xC0, 0x23 |
ECDHE-ECDSA-AES128-SHA256 |
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
0xC0, 0x24 |
ECDHE-ECDSA-AES256-SHA384 |
TLS 1.2, 1.1 vagy 1.0: | ||
IANA | Érték | OpenSSL |
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
0xC0, 0x09 |
ECDHE-ECDSA-AES128-SHA |
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
0xC0, 0x0A |
ECDHE-ECDSA-AES256-SHA |
Cipher Suites RSA tanúsítványokhoz | ||
TLS 1.2: | ||
IANA | Érték | OpenSSL |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
0xC0, 0x2F |
ECDHE-RSA-AES128-GCM-SHA256 |
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
0xC0, 0x30 |
ECDHE-RSA-AES256-GCM-SHA384 |
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
0x00, 0x9E |
DHE-RSA-AES128-GCM-SHA256 |
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
0x00, 0x9F |
DHE-RSA-AES256-GCM-SHA384 |
TLS_DHE_RSA_WITH_AES_128_CCM |
0xC0, 0x9E |
DHE-RSA-AES128-CCM |
TLS_DHE_RSA_WITH_AES_256_CCM |
0xC0, 0x9F |
DHE-RSA-AES256-CCM |
TLS_DHE_RSA_WITH_AES_128_CCM_8 |
0xC0, 0xA2 |
DHE-RSA-AES128-CCM8 |
TLS_DHE_RSA_WITH_AES_256_CCM_8 |
0xC0, 0xA3 |
DHE-RSA-AES256-CCM8 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
0xC0, 0x27 |
ECDHE-RSA-AES128-SHA256 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
0xC0, 0x28 |
ECDHE-RSA-AES256-SHA384 |
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 |
0x00, 0x67 |
DHE-RSA-AES128-SHA256 |
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 |
0x00, 0x6B |
DHE-RSA-AES256-SHA256 |
TLS 1.2, 1.1 vagy 1.0: | ||
IANA | Érték | OpenSSL |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
0xC0, 0x13 |
ECDHE-RSA-AES128-SHA |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
0xC0, 0x14 |
ECDHE-RSA-AES256-SHA |
TLS_DHE_RSA_WITH_AES_128_CBC_SHA |
0x00, 0x33 |
DHE-RSA-AES128-SHA |
TLS_DHE_RSA_WITH_AES_256_CBC_SHA |
0x00, 0x39 |
DHE-RSA-AES256-SHA |
Cipher Suites ECDSA tanúsítványokhoz | ||
TLS 1.2: | ||
IANA | Érték | OpenSSL |
TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 |
0x00, 0xA2 |
DHE-DSS-AES128-GCM-SHA256 |
TLS_DHE_DSS_WITH_AES_256_GCM_SHA384 |
0x00, 0xA3 |
DHE-DSS-AES256-GCM-SHA384 |
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 |
0x00, 0x40 |
DHE-DSS-AES128-SHA256 |
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 |
0x00, 0x6A |
DHE-DSS-AES256-SHA256 |
TLS 1.2, 1.1 vagy 1.0: | ||
IANA | Érték | OpenSSL |
TLS_DHE_DSS_WITH_AES_128_CBC_SHA |
0x00, 0x32 |
DHE-DSS-AES128-SHA |
TLS_DHE_DSS_WITH_AES_256_CBC_SHA |
0x00, 0x38 |
DHE-DSS-AES256-SHA |
Cipher Suites DH tanúsítványokhoz | ||
DSA aláírással, TLS 1.2: | ||
IANA | Érték | OpenSSL |
TLS_DH_DSS_WITH_AES_128_GCM_SHA256 |
0x00, 0xA4 |
DH-DSS-AES128-GCM-SHA256 |
TLS_DH_DSS_WITH_AES_256_GCM_SHA384 |
0x00, 0xA5 |
DH-DSS-AES256-GCM-SHA384 |
TLS_DH_DSS_WITH_AES_128_CBC_SHA256 |
0x00, 0x3E |
DH-DSS-AES128-SHA256 |
TLS_DH_DSS_WITH_AES_256_CBC_SHA256 |
0x00, 0x68 |
DH-DSS-AES256-SHA256 |
DSA aláírással, TLS 1.2, 1.1 vagy 1.0: | ||
IANA | Érték | OpenSSL |
TLS_DH_DSS_WITH_AES_128_CBC_SHA |
0x00, 0x30 |
DH-DSS-AES128-SHA |
TLS_DH_DSS_WITH_AES_256_CBC_SHA |
0x00, 0x36 |
DH-DSS-AES256-SHA |
RSA aláírással, TLS 1.2: | ||
IANA | Érték | OpenSSL |
TLS_DH_RSA_WITH_AES_128_GCM_SHA256 |
0x00, 0xA0 |
DH-RSA-AES128-GCM-SHA256 |
TLS_DH_RSA_WITH_AES_256_GCM_SHA384 |
0x00, 0xA1 |
DH-RSA-AES256-GCM-SHA384 |
TLS_DH_RSA_WITH_AES_128_CBC_SHA256 |
0x00, 0x3F |
DH-RSA-AES128-SHA256 |
TLS_DH_RSA_WITH_AES_256_CBC_SHA256 |
0x00, 0x69 |
DH-RSA-AES256-SHA256 |
RSA aláírással, TLS 1.2, 1.1 vagy 1.0: | ||
IANA | Érték | OpenSSL |
TLS_DH_RSA_WITH_AES_128_CBC_SHA |
0x00, 0x31 |
DH-RSA-AES128-SHA |
TLS_DH_RSA_WITH_AES_256_CBC_SHA |
0x00, 0x37 |
DH-RSA-AES256-SHA |
Cipher Suites ECDH tanúsítványokhoz | ||
ECDSA aláírással, TLS 1.2: | ||
IANA | Érték | OpenSSL |
TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256 |
0xC0, 0x2D |
ECDH-ECDSA-AES128-GCM-SHA256 |
TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384 |
0xC0, 0x2E |
ECDH-ECDSA-AES256-GCM-SHA384 |
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 |
0xC0, 0x25 |
ECDH-ECDSA-AES128-SHA256 |
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384 |
0xC0, 0x26 |
ECDH-ECDSA-AES256-SHA384 |
ECDSA aláírással, TLS 1.2, 1.1 vagy 1.0: | ||
IANA | Érték | OpenSSL |
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA |
0xC0, 0x04 |
ECDH-ECDSA-AES128-SHA |
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA |
0xC0, 0x05 |
ECDH-ECDSA-AES256-SHA |
RSA aláírással, TLS 1.2: | ||
IANA | Érték | OpenSSL |
TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256 |
0xC0, 0x31 |
ECDH-RSA-AES128-GCM-SHA256 |
TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384 |
0xC0, 0x32 |
ECDH-RSA-AES256-GCM-SHA384 |
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256 |
0xC0, 0x29 |
ECDH-RSA-AES128-SHA256 |
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384 |
0xC0, 0x2A |
ECDH-RSA-AES256-SHA384 |
RSA aláírással, TLS 1.2, 1.1 vagy 1.0: | ||
IANA | Érték | OpenSSL |
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA |
0xC0, 0x0E |
ECDH-RSA-AES128-SHA |
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA |
0xC0, 0x0F |
ECDH-RSA-AES256-SHA |
TLS 1.3
TLS Az 1.3-nál sokkal rövidebb a titkosító csomagok listája:
TLS_AES_128_GCM_SHA256 (0x13, 0x01)
TLS_AES_256_GCM_SHA384 (0x13, 0x02)
TLS_AES_128_CCM_SHA256 (0x13, 0x04)
TLS_AES_128_CCM_8_SHA256 (0x13, 0x05)
Következtetés
Reméljük, hogy ez a rövid útmutató segít megérteni többet TLS, és segítséget nyújt a konfiguráláshoz TLS a saját szerverén. Az általunk megvitatott szabványok és ajánlások tekintetében a következő szakasz egy olyan konfigurációs példát tartalmaz, amelyet képesnek kell lennie a legnépszerűbb webszerver-megoldásokra alkalmazni. Ha bármilyen kérdése van az online megfelelés fenntartásával kapcsolatban, forduljon hozzánk bizalommal e-mailben Support@SSL.com vagy a képernyő alján található élő chat gombra kattintva.
Függelék: Példa TLS konfigurációk
A három specifikációs dokumentumban szereplő szabályokat összegyűjtve egy modern biztonságos szervert kell telepíteni TLS 1.2 és / vagy TLS 1.3, a kiválasztott rejtjelkészletek rövid, de változatos listájával. Gyors referenciaként az alábbiakban bemutatjuk a piac legnépszerűbb webszervereinek példakonfigurációit. Ezek a „köztes” (általános célú) konfigurációk, amelyeket a Mozilla generált SSL konfigurációs generátor:
Apache HTTP szerver
... SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256: ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCMSA-SHA384 POLY20: ECDHE-RSA-CHACHA1305-POLY20: DHE-RSA-AES1305-GCM-SHA128: DHE-RSA-AES256-GCM-SHA256 SSLHonorCipherOrder off SSLSessionTickets off
nginx
... ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384; ssl_prefer_server_ciphers off;
lighttpd
... ssl.openssl.ssl-conf-cmd = ("Protokoll" => "MINDEN, -SSLv2, -SSLv3, -TLSv1, -TLSv1.1 ") ssl.cipher-list =" ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256: ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AC256- GS SHA384: ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-RSA-CHACHA20-POLY1305: DHE-RSA-AES128-GCM-SHA256: DHE-RSA-AES256-GCM-SHA384 "ssl.honor-cipher
HAProxy
... ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384 ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256 ssl-default-bind-options prefer-client-ciphers no-sslv3 nem-tlsv10 nem-tlsv11 nem-tls-tickets ssl-default-server-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384 ssl-default-server-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256 ssl-default-server-options no-sslv3 nem-tlsv10 nem-tlsv11 nem-tls-jegyek
AWS ELB
... Házirendek: - PolicyName: Mozilla-intermedi-v5-0 PolicyType: SSLNegotiationPolicyType attribútumok: - Név: Protokoll-TLSv1.2 Érték: true - Név: Server-Defined-Cipher-Order Érték: false - Név: ECDHE-ECDSA-AES128-GCM-SHA256 Érték: true - Név: ECDHE-RSA-AES128-GCM-SHA256 Érték: true - Név: ECDHE-ECDSA-AES256-GCM-SHA384 Érték: true - Név: ECDHE-RSA-AES256-GCM-SHA384 Érték: true - Név: DHE-RSA-AES128-GCM-SHA256 Érték: true - Név: DHE-RSA -AES256-GCM-SHA384 Érték: igaz