Я настроил наш сервер HAProxy для прекращения работы TLS / SSL и настройки моего шифра. Все работает - однако я получаю A- от SSL Labs: https://ssllabs.com/ssltest/ из-за отсутствия поддержки безопасных переговоров. Сообщение от лабораторий SSL:
Не поддерживается безопасное пересмотр. Оценка снижена до A-. ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ »
Я бы хотел, чтобы наши клиенты видели оценку« А ». Я отсканировал документацию haproxy и не могу найти ничего о поддержке безопасного пересмотра. Разве это не поддерживается haproxy?
Это мой глобальный конфиг haproxy:
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /usr/local/etc/haproxy/certs/
ssl-default-bind-ciphers ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS:!3DES:!MD5:!EXP:!PSK:!SRP
ssl-default-bind-options no-sslv3 no-tlsv10 no-tlsv11
И интерфейс:
frontend https
bind 0.0.0.0:443 ssl crt /usr/local/etc/haproxy/chain.pem ca-ignore-err all
mode http
maxconn 400
acl jbossun path_beg /path1 OR /path2
#insert stickiness here
use_backend prod-jboss if jbossun
default_backend prod-default
Но я не знаю, что еще добавить, чтобы сделать это безопасное пересмотр. Кто-нибудь знает, какой флаг нужен? Или что мне нужно добавить?