Aktarım Katmanı Güvenliği (TLS) protokol, İnternet üzerinden ağ iletişimlerini korumanın birincil yoludur. Bu makale, güvenli bir sunucu yapılandırmanıza yardımcı olacak kısa bir kılavuzdur. TLS standartları.
Giriş
The Taşıma katmanı Güvenliği (TLS) protokol, İnternet üzerinden ağ iletişimlerini korumanın birincil yoludur. O (ve selefi, Güvenli Yuva Katmanı veya SSL) onlarca yıldır birçok uygulamada kullanılmaktadır, ancak en önemlisi ziyaret ettiklerinde tarayıcılarda HTTPS web siteleri. TLS genellikle arka planda sessizce çalışır, ancak birinin düşünebileceğinin aksine, TLS sadece çalışan bir kara kutu değildir. Aksine, güvenlik TLS çeşitli şifreleme algoritmalarının işbirliğinden kaynaklanmaktadır. Dahası, TLS, kendisinden önceki SSL gibi, güvenlik endüstrisiyle birlikte sürekli olarak gelişir - yeni teknoloji ve iş gereksinimleri karşılanmalı ve en son güvenlik tehditleri azaltılmalıdır. Algoritmalar zamanla geçerliliğini yitirebilir veya uygulamalardan vazgeçilebilir ve her değişikliğin genel güvenliğini etkilemesi TLS Örneğin (şu anda bağlantınızı koruyan gibi).
Bu dalgalanma, çeşitli standart organizasyonlarını kılavuz belgeler yayınlamaya motive etti, böylece asgari TLS belirli bir pazarda, sektörde veya hizmette güvenlik sağlanabilir. Ne yazık ki, bu tür çok sayıda standart vardır, farklı sektörler farklı, uygulanabilir belgelere uyum gerektirirken, standartların kendileri Ayrıca zaman içinde gelişerek, korumak için tasarlandıkları sektördeki değişikliklere uyum sağlar.
Anlaşılır şekilde, modern bir deniz kurmak için bu standartlar denizinde gezinmek TLS örnek, yöneticiler için gerçek bir baş ağrısı olabilir. Bu makale, güvenli bir sunucuyu beklenen gereksinimleri karşılayacak şekilde yapılandırmanıza yardımcı olacak kısa bir kılavuzdur. TLS 2021'deki standartlar. (Daha fazla yardım için, aynı zamanda dünyanın en popüler web sunucusu çözümlerinin örnek yapılandırmalarını da verdik. ek.)
Standartlar
İçin yönergeleri koruyan birkaç kuruluş vardır TLS Amerika Birleşik Devletleri Sağlık ve İnsan Hizmetleri Bakanlığı (HHS) veya Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) gibi ağ güvenliği ile ilgili olarak. Kısaca, bu makale yalnızca en çok benimsenen üç belgeyi inceleyecektir:
- The Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA)
- NIST en SP 800-52r2 yönergeleri
- The Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS)
HIPAA
HIPAA, ABD hükümeti tarafından 1996 yılında yürürlüğe konan Korunan Sağlık Bilgisi (PHI). PHI, test sonuçları veya teşhisler gibi herhangi bir dijital hasta bilgisini ifade eder. Bir HIPAA rehberlik belgesi 2013'te yayınlanan aşağıdaki ifadeler:
Hareket halindeki veriler için geçerli şifreleme süreçleri, uygun olduğu şekilde, NIST Özel Yayınları 800-52, Taşıma Katmanı Güvenliği Seçimi ve Kullanımı için Yönergeler (TLS) Uygulamalar; 800-77, IPsec VPN Kılavuzu; veya 800-113, Guide to SSL VPNs veya Federal Information Processing Standards (FIPS) 140-2 doğrulanmış diğerleri.
NIST standartları
2005 yılında, NIST, güvenli bir şekilde yapılandırmak için doğru operasyonel prosedürleri açıklayan 800-52 Özel Yayınını (SP) yayınladı. TLS devlet sunucuları için örnek. SP 800-52, SP 800-52r1 (2014) ve SP 80052r2 (2019) sürümleriyle değiştirildi. Bu makale, şu anda kararlı olan SP 800-52r2 yönergelerini takip etmektedir.
PCI DSS
PCI-DSS, ödeme ve kart bilgilerinin e-ticaret web siteleri tarafından nasıl ele alınacağını belirleyen Payment Card Industry (PCI) Standartları Güvenlik Konseyi (SSC) tarafından sağlanan bir uyumluluk standardıdır. Doğru yapılandırması ile ilgili olarak TLS PCI-DSS örnekleri:
"Güçlü kriptografi ve güvenli protokoller hakkında bilgi için endüstri standartlarına ve en iyi uygulamalara bakın (ör. NIST SP 800-52 ve SP 800-57, OWASP, vb.)"
TLS standartları: hepsini bir araya getirmek
Şimdiye kadar her standardın, işlevlerine ve işledikleri verilere bağlı olarak farklı sistemleri etkilediği belirtilmelidir. Örneğin, bir hastane e-posta sunucusu HIPAA yönergeleri kapsamına girebilir çünkü değiştirilen mesajlar hasta bilgilerini içerebilirken, hastanenin CRM sistemi kredi kartı ve diğer müşteri verilerini içerebildiği için PCI-DSS kapsamına girebilir. Her üç standartla da uyumlu olmak, ortak kullanım gerektirir. TLS tüm belgelerde bulunan parametreler.
Neyse ki, tüm standartların NIST'in seçimine ilişkin yönergelerine uyduğu açıktır. TLS parametreleri. Bu, bu yazının yazıldığı sırada, SP 800-52r2 ile uyumlu olmanın, bir sunucuyu HIPAA ve PCI-DSS ile de uyumlu hale getirmesi gerektiği anlamına gelir. (Tamam, bu değil kesinlikle doğru, ancak sonraki bölümde işler daha açık hale gelecektir.)
yapılandırılabilir TLS parametreler
Güvenlik seviyesi TLS en çok etkilenen protokol sürümü (yani 1.0, 1.1 vb.) ve izin verilenler şifre takımları. Şifreler, şifreleme ve şifre çözme gerçekleştiren algoritmalardır. Ancak, şifre takımı bir şifreleme, bir anahtar değişim algoritması ve bir karma algoritma içeren bir dizi algoritmadır. TLS bağ. Çoğu TLS istemciler ve sunucular birden fazla alternatifi destekler, bu nedenle ortak bir seçim yapmak için güvenli bir bağlantı kurarken görüşmeleri gerekir TLS sürümü ve şifre takımı.
TLS protokol sürümü
Ilişkin TLS sürüm desteği, NIST SP 800-52r2 aşağıdakileri belirtir:
Yalnızca devlet uygulamalarını destekleyen sunucular -ecek kullanmak üzere yapılandırılmış TLS 1.2 ve meli kullanmak üzere yapılandırılmış TLS 1.3 de. Bu sunucular olmamalı kullanmak üzere yapılandırılmış TLS 1.1 ve olmaz kullanım TLS 1.0, SSL 3.0 veya SSL 2.0.
...
Vatandaş veya işle ilgili uygulamaları destekleyen sunucular (yani, müşteri bir devlet BT sisteminin parçası olmayabilir) -ecek pazarlık yapacak şekilde yapılandırılmış TLS 1.2 ve meli pazarlık yapacak şekilde yapılandırılmış TLS 1.3. Kullanımı TLS 1.1 ve 1.0 sürümleri genellikle önerilmez, ancak bu sürümler gerektiğinde vatandaşlar ve işletmelerle etkileşimi sağlamak için yapılandırılabilir ... Bu sunucular olmaz SSL 2.0 veya SSL 3.0 kullanımına izin verir.
Kurumsal -ecek destek TLS 1.3 1 Ocak 2024'e kadar. Bu tarihten sonra sunucular -ecek destek TLS 1.3 Hem yalnızca devlet hem de vatandaş veya işle ilgili uygulamalar için. Genel olarak, destekleyen sunucular TLS 1.3 meli kullanmak üzere yapılandırılmış TLS 1.2 de. Ancak, TLS 1.2, destekleyen sunucularda devre dışı bırakılabilir TLS 1.3 Eğer tespit edilmişse TLS Birlikte çalışabilirlik için 1.2 gerekli değildir.
Süre TLS 1.0 yasaktır ve TLS 1.1, devlet siteleri için kullanımdan kaldırılmıştır, NIST yönergeleri, üçüncü taraf hizmetleriyle, devlet tarafından kontrol edilen sunucularla uyumluluk için Mayıs ayı uygulamak TLS 1.0 ve 1.1 gerektiğinde. PCI-DSS 3.2.1 (mevcut sürüm) altında, uyumlu sunucular desteği düşürmeli için TLS 1.0 ve "minimum TLS 1.1, Tercihen TLS 1.2. ” HIPAA teknik olarak tüm sürümlerinin kullanımına izin verir TLS. Bu nedenle, yaygın olarak desteklenen minimum TLS sürüm 1.1'dir; ancak, PCI-DSS ve NIST, daha güvenli TLS 1.2 (ve yukarıda görüldüğü gibi NIST, TLS 1.3 ve 2024'e kadar destek gerektirmeyi planlıyor).
Şifreleme Süitleri
TLS 1.2 ve Öncesi
SP 800-52r2, aşağıdakiler için çeşitli kabul edilebilir şifre paketlerini belirtir: TLS 1.2 ve öncesi. Standart, herhangi bir özel şifre paketi için destek gerektirmez, ancak daha güçlü olanları seçme konusunda rehberlik sağlar:
- Statik anahtarlar yerine geçici anahtarları tercih edin (yani DHE yerine DHE'yi tercih edin ve ECDH yerine ECDHE'yi tercih edin). Geçici anahtarlar mükemmel bir ileri gizlilik sağlar.
- CBC modu yerine GCM veya CCM modlarını tercih edin. Kimliği doğrulanmış bir şifreleme modunun kullanılması birkaç saldırıyı önler (daha fazla bilgi için bkz. Bölüm 3.3.2 [SP 800-52r2]). Bunların önceki sürümlerde bulunmadığını unutmayın. TLS 1.2
- CCM_8 yerine CCM'yi tercih edin. İkincisi, daha düşük bir kimlik doğrulama gücü sağlayan daha kısa bir kimlik doğrulama etiketi içerir.
Dahası, bunlar izin şifre takımları, eğer TLS sunucu çok çeşitli farklı platform ve istemcilerle ilgilenmez, bu algoritmaların sadece küçük bir alt kümesinin kullanılması önerilir. Daha fazla şifre paketine izin vermek, sunucunuza yönelik saldırı yüzeyini ancak yeni bir protokol açığı keşfedildiğinde (veya olduğunda) genişletebilir.
ECDSA Sertifikaları için Şifre Paketleri | ||
---|---|---|
TLS 1.2: | ||
IANA | Özellik | OpenSSL |
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
0xC0, 0x2B |
ECDHE-ECDSA-AES128-GCM-SHA256 |
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
0xC0, 0x2C |
ECDHE-ECDSA-AES256-GCM-SHA384 |
TLS_ECDHE_ECDSA_WITH_AES_128_CCM |
0xC0, 0xAC |
ECDHE-ECDSA-AES128-CCM |
TLS_ECDHE_ECDSA_WITH_AES_256_CCM |
0xC0, 0xAD |
ECDHE-ECDSA-AES256-CCM |
TLS_ECDHE_ECDSA_WITH_AES_128_CCM_8 |
0xC0, 0xAE |
ECDHE-ECDSA-AES128-CCM8 |
TLS_ECDHE_ECDSA_WITH_AES_256_CCM_8 |
0xC0, 0xAF |
ECDHE-ECDSA-AES256-CCM8 |
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
0xC0, 0x23 |
ECDHE-ECDSA-AES128-SHA256 |
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
0xC0, 0x24 |
ECDHE-ECDSA-AES256-SHA384 |
TLS 1.2, 1.1 veya 1.0: | ||
IANA | Özellik | OpenSSL |
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
0xC0, 0x09 |
ECDHE-ECDSA-AES128-SHA |
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
0xC0, 0x0A |
ECDHE-ECDSA-AES256-SHA |
RSA Sertifikaları için Şifre Paketleri | ||
TLS 1.2: | ||
IANA | Özellik | OpenSSL |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
0xC0, 0x2F |
ECDHE-RSA-AES128-GCM-SHA256 |
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
0xC0, 0x30 |
ECDHE-RSA-AES256-GCM-SHA384 |
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
0x00, 0x9E |
DHE-RSA-AES128-GCM-SHA256 |
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
0x00, 0x9F |
DHE-RSA-AES256-GCM-SHA384 |
TLS_DHE_RSA_WITH_AES_128_CCM |
0xC0, 0x9E |
DHE-RSA-AES128-CCM |
TLS_DHE_RSA_WITH_AES_256_CCM |
0xC0, 0x9F |
DHE-RSA-AES256-CCM |
TLS_DHE_RSA_WITH_AES_128_CCM_8 |
0xC0, 0xA2 |
DHE-RSA-AES128-CCM8 |
TLS_DHE_RSA_WITH_AES_256_CCM_8 |
0xC0, 0xA3 |
DHE-RSA-AES256-CCM8 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
0xC0, 0x27 |
ECDHE-RSA-AES128-SHA256 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
0xC0, 0x28 |
ECDHE-RSA-AES256-SHA384 |
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 |
0x00, 0x67 |
DHE-RSA-AES128-SHA256 |
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 |
0x00, 0x6B |
DHE-RSA-AES256-SHA256 |
TLS 1.2, 1.1 veya 1.0: | ||
IANA | Özellik | OpenSSL |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
0xC0, 0x13 |
ECDHE-RSA-AES128-SHA |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
0xC0, 0x14 |
ECDHE-RSA-AES256-SHA |
TLS_DHE_RSA_WITH_AES_128_CBC_SHA |
0x00, 0x33 |
DHE-RSA-AES128-SHA |
TLS_DHE_RSA_WITH_AES_256_CBC_SHA |
0x00, 0x39 |
DHE-RSA-AES256-SHA |
ECDSA Sertifikaları için Şifre Paketleri | ||
TLS 1.2: | ||
IANA | Özellik | OpenSSL |
TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 |
0x00, 0xA2 |
DHE-DSS-AES128-GCM-SHA256 |
TLS_DHE_DSS_WITH_AES_256_GCM_SHA384 |
0x00, 0xA3 |
DHE-DSS-AES256-GCM-SHA384 |
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 |
0x00, 0x40 |
DHE-DSS-AES128-SHA256 |
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 |
0x00, 0x6A |
DHE-DSS-AES256-SHA256 |
TLS 1.2, 1.1 veya 1.0: | ||
IANA | Özellik | OpenSSL |
TLS_DHE_DSS_WITH_AES_128_CBC_SHA |
0x00, 0x32 |
DHE-DSS-AES128-SHA |
TLS_DHE_DSS_WITH_AES_256_CBC_SHA |
0x00, 0x38 |
DHE-DSS-AES256-SHA |
DH Sertifikaları için Şifre Paketleri | ||
DSA imzalı, TLS 1.2: | ||
IANA | Özellik | OpenSSL |
TLS_DH_DSS_WITH_AES_128_GCM_SHA256 |
0x00, 0xA4 |
DH-DSS-AES128-GCM-SHA256 |
TLS_DH_DSS_WITH_AES_256_GCM_SHA384 |
0x00, 0xA5 |
DH-DSS-AES256-GCM-SHA384 |
TLS_DH_DSS_WITH_AES_128_CBC_SHA256 |
0x00, 0x3E |
DH-DSS-AES128-SHA256 |
TLS_DH_DSS_WITH_AES_256_CBC_SHA256 |
0x00, 0x68 |
DH-DSS-AES256-SHA256 |
DSA imzalı, TLS 1.2, 1.1 veya 1.0: | ||
IANA | Özellik | OpenSSL |
TLS_DH_DSS_WITH_AES_128_CBC_SHA |
0x00, 0x30 |
DH-DSS-AES128-SHA |
TLS_DH_DSS_WITH_AES_256_CBC_SHA |
0x00, 0x36 |
DH-DSS-AES256-SHA |
RSA imzalı, TLS 1.2: | ||
IANA | Özellik | OpenSSL |
TLS_DH_RSA_WITH_AES_128_GCM_SHA256 |
0x00, 0xA0 |
DH-RSA-AES128-GCM-SHA256 |
TLS_DH_RSA_WITH_AES_256_GCM_SHA384 |
0x00, 0xA1 |
DH-RSA-AES256-GCM-SHA384 |
TLS_DH_RSA_WITH_AES_128_CBC_SHA256 |
0x00, 0x3F |
DH-RSA-AES128-SHA256 |
TLS_DH_RSA_WITH_AES_256_CBC_SHA256 |
0x00, 0x69 |
DH-RSA-AES256-SHA256 |
RSA imzalı, TLS 1.2, 1.1 veya 1.0: | ||
IANA | Özellik | OpenSSL |
TLS_DH_RSA_WITH_AES_128_CBC_SHA |
0x00, 0x31 |
DH-RSA-AES128-SHA |
TLS_DH_RSA_WITH_AES_256_CBC_SHA |
0x00, 0x37 |
DH-RSA-AES256-SHA |
ECDH Sertifikaları için Şifre Paketleri | ||
ECDSA imzalı, TLS 1.2: | ||
IANA | Özellik | OpenSSL |
TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256 |
0xC0, 0x2D |
ECDH-ECDSA-AES128-GCM-SHA256 |
TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384 |
0xC0, 0x2E |
ECDH-ECDSA-AES256-GCM-SHA384 |
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 |
0xC0, 0x25 |
ECDH-ECDSA-AES128-SHA256 |
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384 |
0xC0, 0x26 |
ECDH-ECDSA-AES256-SHA384 |
ECDSA imzalı, TLS 1.2, 1.1 veya 1.0: | ||
IANA | Özellik | OpenSSL |
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA |
0xC0, 0x04 |
ECDH-ECDSA-AES128-SHA |
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA |
0xC0, 0x05 |
ECDH-ECDSA-AES256-SHA |
RSA imzalı, TLS 1.2: | ||
IANA | Özellik | OpenSSL |
TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256 |
0xC0, 0x31 |
ECDH-RSA-AES128-GCM-SHA256 |
TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384 |
0xC0, 0x32 |
ECDH-RSA-AES256-GCM-SHA384 |
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256 |
0xC0, 0x29 |
ECDH-RSA-AES128-SHA256 |
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384 |
0xC0, 0x2A |
ECDH-RSA-AES256-SHA384 |
RSA imzalı, TLS 1.2, 1.1 veya 1.0: | ||
IANA | Özellik | OpenSSL |
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA |
0xC0, 0x0E |
ECDH-RSA-AES128-SHA |
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA |
0xC0, 0x0F |
ECDH-RSA-AES256-SHA |
TLS 1.3
TLS 1.3, çok daha kısa bir şifre paketleri listesine sahiptir:
TLS_AES_128_GCM_SHA256 (0x13, 0x01)
TLS_AES_256_GCM_SHA384 (0x13, 0x02)
TLS_AES_128_CCM_SHA256 (0x13, 0x04)
TLS_AES_128_CCM_8_SHA256 (0x13, 0x05)
Sonuç
Bu kısa kılavuzun, TLSve yapılandırırken size yardımcı olur TLS kendi sunucunuzda. Tartıştığımız standartlar ve önerilerle ilgili olarak, aşağıdaki bölüm, en popüler web sunucusu çözümlerine uygulayabilmeniz gereken örnek bir yapılandırma içerir. Çevrimiçi uyumluluğunuzu nasıl koruyacağınızla ilgili herhangi bir sorunuz varsa, e-posta göndererek bizimle iletişime geçmekten çekinmeyin. Support@SSL.com veya bu ekranın altındaki canlı sohbet düğmesini tıklayın.
Ek: Örnek TLS konfigürasyonları
Üç spesifikasyon belgesinde belirtilen kuralları toplayarak, modern bir güvenli sunucu uygulamalıdır TLS 1.2 ve / veya TLS 1.3, kısa ama çeşitli seçilmiş şifre paketleri listesi ile. Hızlı bir referans olarak, piyasadaki en popüler web sunucuları için örnek konfigürasyonlar aşağıda gösterilmiştir. Bunlar, Mozilla'nın sunduğu "ara" (genel amaçlı) yapılandırmalardır. SSL Yapılandırma Oluşturucu:
Apache HTTP sunucusu
... SSLProtocol tümü -SSLv3 -TLSv1 -TLSv1.1 SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256: ECDHE-ECDSA-AES256-GCM-SHA384: ESAHE-RSA-AES256-GCMH-SHA384: ESAHE-RSA-AES20-GCMHE-SHA1305 POLY20: ECDHE-RSA-CHACHA1305-POLY128: DHE-RSA-AES256-GCM-SHA256: DHE-RSA-AES384-GCM-SHAXNUMX SSLHonorCipherOrder off SSLSessionTickets off
nginx
... ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384; ssl_prefer_server_ciphers off;
ışıktpd
... ssl.openssl.ssl-conf-cmd = ("Protokol" => "TÜMÜ, -SSLv2, -SSLv3, -TLSv1, -TLSv1.1 ") ssl.cipher-list =" ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256: ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM- SHA384: ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-RSA-CHACHA20-POLY1305: DHE-RSA-AES128-GCM-SHA256: DHE-RSA-AES256-GCM-SHA384 "ssl.honor-cipher-order =" devre dışı bırak "
HAProxy
... ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384 ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256 ssl-default-bind-options tercih-istemci-şifreleri no-sslv3 no-tlsv10 hayırtlsv11 hayırtls-tickets ssl-default-server-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384 ssl-default-server-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256 ssl-default-server-options no-sslv3 no-tlsv10 hayırtlsv11 hayırtls-biletler
AWS ELB
... Politikalar: - PolicyName: Mozilla-intermediate-v5-0 PolicyType: SSLNegotiationPolicyType Nitelikler: - Ad: Protokol-TLSv1.2 Değer: true - Ad: Sunucu Tanımlı Şifreleme Sırası Değer: false - Ad: ECDHE-ECDSA-AES128-GCM-SHA256 Değer: true - Ad: ECDHE-RSA-AES128-GCM-SHA256 Değer: true - Ad: ECDHE-ECDSA-AES256-GCM-SHA384 Değer: true - Ad: ECDHE-RSA-AES256-GCM-SHA384 Değer: true - Ad: DHE-RSA-AES128-GCM-SHA256 Değer: true - Ad: DHE-RSA -AES256-GCM-SHA384 Değeri: true