Сравнение нотаций SSL Cipher Suite - PullRequest
Новая
       1

Сравнение нотаций SSL Cipher Suite

0 голосов
/ 24 января 2020

У нас есть клиент, чей поддерживаемый TLS 1.2 Cipher Suite отмечен этим форматом ... 

Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)
Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027)
Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)
Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)
Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02c)
Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b)
Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 (0xc024)
Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 (0xc023)
Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (0xc00a)
Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xc009)

И у нас есть сервер (nginx Я думаю?), Чей список поддержки находится в этой нотации. .. 

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM

Клиент не может установить sh соединение, поэтому я предполагаю, что клиент / сервер не согласен с поддерживаемым шифром. Любые идеи, как я могу получить список поддерживаемых шифров из сокращенного обозначения сервера?

Я знаю, что EECDH является псевдонимом для ECDHE, поэтому я предположил бы, что один из этих двух шифров будет соответствовать. 

Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02c)
Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b)

Есть идеи, почему нет?

Ответы [ 2 ]

0 голосов
/ 25 января 2020

openssl ciphers -V 'EECDH+AESGCM:EDH+AESGCM' дает вам все шифры в обозначениях OpenSSL. Чтобы перевести это в обозначения из RF C, см. Отображение в конце man шифров . При этом вы получаете следующие общие шифры, которые вы уже правильно определили: 

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

Но это оба шифра ECDSA, поэтому они требуют, чтобы сервер имел сертификат E CC. Я предполагаю, что в вашем случае сервер имеет только сертификат RSA (который все еще более распространен), так что по существу нет общих шифров. Вместо этого клиент должен был бы предложить эти шифры: 

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA384
0 голосов
/ 25 января 2020

Если ваш сервер общедоступен, перейдите на SSLLabs и проверьте ваш сервер на предмет поддерживаемых комплектов шифров. Он выдаст вам список в нужном вам формате.

Если ваш сервер не опубликован c, вы можете сделать то же самое с testssl. sh.

...