Как отключить определенные комплекты шифров от HAPROXY - Могу ли я сделать это "ssl-default-bind-ciphers no RC4-MD5"

Question

Как отключить определенные наборы шифров от Haproxy?

Все документы говорят о предоставлении списка, который будет разрешен для 'ssl-default-bind-ciphers'. Я хочу предоставить только те, которые НЕ допускаются. Могу ли я сделать это "ssl-default-bind-ciphers no RC4-MD5"

Причина: я не хочу ограничивать себя теми, которые я включил в список. Если клиент приходит с лучшим, более быстрым набором шифров - я хочу, чтобы переговоры прошли. Я также не эксперт в решении, какие наборы шифров должны быть разрешены. У меня есть список слабых шифров, которые нужно отключить, и я хочу добиться именно этого.

Answer 1

Я нашел способ сделать то, что вы положили! перед набором шифров вы хотите отключить, и это работает. Ну, вы должны упомянуть список апартаментов, которые также необходимы без! - это не то, что я хотел, но работает.

Answer 2

В приведенном ниже комментарии вы можете использовать !, чтобы указать шифры, от которых нужно отказаться. Спасибо @ DivyaTV

Стоит отметить, что для исключения определенных шифров необходимо включить те, которые вы хотите.

Например:

ssl-default-server-ciphers ECDH+AESGCM:!ECDHE-RSA-DES-CBC3-SHA:ECDH+CHACHA20:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS

Другой пример: https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/

Шифры: https://www.openssl.org/docs/man1.0.2/apps/ciphers.html