Lighttpd:只启用SSLv3,但使用TLSv1.2
我有Lighttpd-1.4.33安装,必须证明使用SSL和TLS。因此,我使用了ssl.use-sslv3和ssl.cipher-suite参数。
请参阅我lighttpd.conf:Lighttpd:只启用SSLv3,但使用TLSv1.2
$SERVER["socket"] == ":443" {
server.document-root = "/var/www/"
server.protocol-http11 = "enable"
ssl.engine = "enable"
ssl.pemfile = "/etc/lighttpd/servercert.pem"
ssl.ca-file = "/etc/lighttpd/cacert.pem"
ssl.use-sslv3 = "enable"
}
当我提出一个要求它给了我一个TLSv1.2工作连接。现在
,ssl.use-SSLV3替换为以下几点:
ssl.cipher-list = "NULL-MD5:NULL-SHA:EXP-RC4-MD5:RC4-MD5:RC4-SHA:DES-CBC3-SHA:AES128-SHA:AES256-SHA:EXP1024-RC4-SHA"
ssl.honor-cipher-order = "enable"
也给了我一个TLSv1.2工作连接。
所以,我的问题是:
TLSv1.2“包含”SSLv3中使用的所有密码,因此使用SSLv3而不是SSLv3吗?
有没有机会强迫Lighttpd拒绝TLSv1.2连接,但如果以这种方式配置,不是SSLv3?
我需要强迫Lighttpd只能使用SSLv3或TLSv1.0。
感谢您的帮助。
的密列表是从http://www.openssl.org/docs/apps/ciphers.html#tls_v1_0_cipher_suites_
密码组通常不定义协议的版本,即不能启用或通过启用或禁用密码组禁用协议版本。如果服务器配置允许,则需要明确指定已启用的SSL/TLS协议版本。
更新:查看http://redmine.lighttpd.net/projects/1/wiki/docs_ssl似乎use-sslv3参数还启用了所有TLS版本。
forum on Lighttpd.net表明,尽管尚未设置[尚未]控制TLS版本的使用,但您只能启用TLS-1.2特定的密码套件,从而强制TLS 1.2(对于TLS 1.1/1.2组合,I认为)。我没有查看源代码,所以我不能说这是如何工作的(如果它工作的话)。
也here他们建议将ssl.use-sslv3参数设置为“禁用”,以禁用SSL 3并保持启用TLS。
谢谢!这意味着当我使用ssl.use-sslv3参数时,Lighttpd最低需要使用此协议,还是通常只接受SSLv3连接? – lshw 2014-12-09 12:38:53
@lshw我已经添加了一个更新供您使用。 – 2014-12-09 13:41:42