TIdServerIOHandlerSSLOpenSSL.SSLOptions.CipherList 中密码名称的顺序重要吗？

2023-12-02

我将 Web 服务允许的密码限制为仅以下 TLS 1.x 密码：

TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA
TLS_RSA_WITH_IDEA_CBC_SHA
TLS_RSA_WITH_RC4_128_MD5
TLS_RSA_WITH_RC4_128_SHA

Update回应戴夫·汤普森的评论：

我现在采用生成的密码这个答案，以该顺序。
因为我们当前使用 Delphi XE2/Indy 10.5.8.0/OpenSSL 1.0.2f，所以我省略了 ECDHE 密码，这些是使用这些软件版本实施起来太麻烦.
此外，我们仍然允许 TLS 1.0。
更新到 Delphi Seattle 10 后，我们将禁止 TLS 1.0 并重新放入 ECDHE 密码。

这留下：

TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (0xcc15)
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (0x9f)
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x9e)
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (0x6b)
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (0x67)
TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA256 (0xc4)
TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x39)
TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x33)
TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (0x88)
TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (0x45)

转换为 OpenSSL 名称（根据将 OpenSSL 密码套件名称映射到 RFC 名称）这些都是：

DHE-RSA-CHACHA20-POLY1305 
DHE-RSA-AES256-GCM-SHA384 
DHE-RSA-AES128-GCM-SHA256 
DHE-RSA-AES256-SHA256 
DHE-RSA-AES128-SHA256 
- cannot find the equivalent for 0xc4 - anyone? -
DHE-RSA-AES256-SHA
DHE-RSA-AES128-SHA 
DHE-RSA-CAMELLIA256-SHA 
DHE-RSA-CAMELLIA128-SHA256

服务器提供密码的顺序很重要，但我可以控制这个顺序吗？ CipherList 是一个字符串属性，包含用“+”连接的这些名称：

TIdServerIOHandlerSSLOpenSSL.SSLOptions.CipherList := 'DHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SH:DHE-RSA-AES128-SHA:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-CAMELLIA128-SHA256';

如果是这样，推荐的顺序是什么？

请注意，由于我的网络服务是服务器，所以我已经设置SSLOptions.Mode := sslmServer.

* These are the ones that the nmap script ssl-enum-ciphers grades with an 'A'

密码名称的顺序是TIdServerIOHandlerSSLOpenSSL.SSLOptions.CipherList重要的？

大部分是的。

TLS 确实not指定由谁决定密码。按照惯例，服务器尊重客户端的偏好。也就是说，服务器将使用客户端的第一首选项（如果可用且已启用），或者客户端的第二首选项（如果可用且已启用），依此类推。

大多数库允许服务器覆盖该行为。例如，使用 OpenSSL，SSL_OP_CIPHER_SERVER_PREFERENCE选项。在这种情况下，如果客户端通告它，服务器将匹配服务器的第一偏好，如果客户端通告它，服务器将匹配服务器的第二偏好，依此类推。

对于我控制的服务器，我调整密码套件列表并通常设置SSL_OP_CIPHER_SERVER_PREFERENCE因为很多客户不注重细节。他们只是将密码套件的汤扔到 ClientHello 中，希望能保留一些东西。

服务器提供密码的顺序很重要，但我可以控制这个顺序吗？

Yes.

在服务器上，确定密码套件的顺序，然后使用SSL_CTX_set_cipher_list or SSL_set_cipher_list。通过设置列表，您可以确保RC4-MD5即使是客户的第一选择也不会被使用（假设您忽略它）。为了获得最大的影响，还设置SSL_OP_CIPHER_SERVER_PREFERENCE上下文选项。

另请参阅如何禁用 openssl 中的特定密码套件？上下文是 OpenSSL，但它应该让您了解在 Delphi 中该去哪里。

（评论）：从您的回答中我不清楚什么：CipherList 属性是否已经表示订单？如果我查看底层的 Delphi/Indy 代码，我会发现它只是外部函数的包装器SSL_CTX_set_cipher_list : function(_para1: PSSL_CTX; const str: PAnsiChar): TIdC_INT cdecl = nil; in IdSSLOpenSSLHeaders.pas

如果我正确理解 Delphi，那么我相信答案是肯定的。但它可能使用 (1) OpenSSL 的默认列表，或 (2) Delphi 默认列表。两者可能都是这样的"ALL:!EXP:!LOW"或类似的。无论哪种情况，您都需要对其进行调整以适合您的口味。

如果您对列表放在网络上时的样子感兴趣，请使用 Wireshark 检查客户您好。很容易生成一个s_client，它向您展示了 OpenSSL 的默认密码套件列表：

$ openssl s_client -connect www.ietf.org:443 -tls1 -servername www.ietf.org

以及相应的 Wireshark 跟踪，其中填充了 55 个默认密码套件：

您还可以使用以下方法改善安全状况并减少密码套件的数量-cipher选项和"HIGH:!aNULL:!MD5:!RC4"。密码套件数量将减少至约 35 个。

 $ openssl s_client -connect www.ietf.org:443 -tls1 -servername www.ietf.org \
     -cipher 'HIGH:!aNULL:!MD5:!RC4'

如果您不喜欢 TripleDES 和 Cameilla，那么您可以使用以下命令将其减少到大约 20 个密码套件：

$ openssl s_client -connect www.ietf.org:443 -tls1 -servername www.ietf.org \
    -cipher 'HIGH:!aNULL:!MD5:!RC4:!3DES:!CAMELLIA'

现在，假设客户端仅配置了RC4-MD5并且服务器仅配置有AES-GCM。即，客户端和服务器之间没有密码套件的交集。在这种情况下，您将在 OpenSSL 中收到错误。错误将为 0x1408A0C1，“无共享密码套件”。它在服务器上看起来像这样：

140339533272744:error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher:s3_srvr.c:1353

对于基于 OpenSSL 的客户端和服务器，您可以使用以下命令确定默认密码套件列表“默认”细绳。这就是它的字面意思（检查ciphers(1)手册页).

其中有 103 个，其中包括较弱和受伤的算法。在实践中，您希望将其配对到您觉得使用舒适的 16 个左右的密码套件（即您的安全状况）：

$ openssl ciphers -v 'DEFAULT' | cut -f 1 -d " " | wc -l
     103

And:

$ openssl ciphers -v 'DEFAULT' | cut -f 1 -d " "
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-SHA384
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES256-SHA
ECDHE-ECDSA-AES256-SHA
SRP-DSS-AES-256-CBC-SHA
SRP-RSA-AES-256-CBC-SHA
SRP-AES-256-CBC-SHA
DH-DSS-AES256-GCM-SHA384
DHE-DSS-AES256-GCM-SHA384
DH-RSA-AES256-GCM-SHA384
DHE-RSA-AES256-GCM-SHA384
DHE-RSA-AES256-SHA256
DHE-DSS-AES256-SHA256
DH-RSA-AES256-SHA256
DH-DSS-AES256-SHA256
DHE-RSA-AES256-SHA
DHE-DSS-AES256-SHA
DH-RSA-AES256-SHA
DH-DSS-AES256-SHA
DHE-RSA-CAMELLIA256-SHA
DHE-DSS-CAMELLIA256-SHA
DH-RSA-CAMELLIA256-SHA
DH-DSS-CAMELLIA256-SHA
ECDH-RSA-AES256-GCM-SHA384
ECDH-ECDSA-AES256-GCM-SHA384
ECDH-RSA-AES256-SHA384
ECDH-ECDSA-AES256-SHA384
ECDH-RSA-AES256-SHA
ECDH-ECDSA-AES256-SHA
AES256-GCM-SHA384
AES256-SHA256
AES256-SHA
CAMELLIA256-SHA
PSK-AES256-CBC-SHA
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-ECDSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
ECDHE-ECDSA-AES128-SHA
SRP-DSS-AES-128-CBC-SHA
SRP-RSA-AES-128-CBC-SHA
SRP-AES-128-CBC-SHA
DH-DSS-AES128-GCM-SHA256
DHE-DSS-AES128-GCM-SHA256
DH-RSA-AES128-GCM-SHA256
DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES128-SHA256
DHE-DSS-AES128-SHA256
DH-RSA-AES128-SHA256
DH-DSS-AES128-SHA256
DHE-RSA-AES128-SHA
DHE-DSS-AES128-SHA
DH-RSA-AES128-SHA
DH-DSS-AES128-SHA
DHE-RSA-SEED-SHA
DHE-DSS-SEED-SHA
DH-RSA-SEED-SHA
DH-DSS-SEED-SHA
DHE-RSA-CAMELLIA128-SHA
DHE-DSS-CAMELLIA128-SHA
DH-RSA-CAMELLIA128-SHA
DH-DSS-CAMELLIA128-SHA
ECDH-RSA-AES128-GCM-SHA256
ECDH-ECDSA-AES128-GCM-SHA256
ECDH-RSA-AES128-SHA256
ECDH-ECDSA-AES128-SHA256
ECDH-RSA-AES128-SHA
ECDH-ECDSA-AES128-SHA
AES128-GCM-SHA256
AES128-SHA256
AES128-SHA
SEED-SHA
CAMELLIA128-SHA
IDEA-CBC-SHA
PSK-AES128-CBC-SHA
ECDHE-RSA-RC4-SHA
ECDHE-ECDSA-RC4-SHA
ECDH-RSA-RC4-SHA
ECDH-ECDSA-RC4-SHA
RC4-SHA
RC4-MD5
PSK-RC4-SHA
ECDHE-RSA-DES-CBC3-SHA
ECDHE-ECDSA-DES-CBC3-SHA
SRP-DSS-3DES-EDE-CBC-SHA
SRP-RSA-3DES-EDE-CBC-SHA
SRP-3DES-EDE-CBC-SHA
EDH-RSA-DES-CBC3-SHA
EDH-DSS-DES-CBC3-SHA
DH-RSA-DES-CBC3-SHA
DH-DSS-DES-CBC3-SHA
ECDH-RSA-DES-CBC3-SHA
ECDH-ECDSA-DES-CBC3-SHA
DES-CBC3-SHA
PSK-3DES-EDE-CBC-SHA
EDH-RSA-DES-CBC-SHA
EDH-DSS-DES-CBC-SHA
DH-RSA-DES-CBC-SHA
DH-DSS-DES-CBC-SHA
DES-CBC-SHA

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

TIdServerIOHandlerSSLOpenSSL.SSLOptions.CipherList 中密码名称的顺序重要吗？的相关文章

SSL 与 WinHTTP

我用 winhttp 创建了一个简单的 Web 服务器它只有一个客户端一个网站在我启用 SSL 之前它工作得很好我没有收到任何错误并且一切似乎都正常但网站在尝试连接时收到错误代码 104 并且我在服务器中没有看到任何活动该网站
过去使用 OpenSSL 和 PHP 设置 notBefore 的 x509 证书

签署证书请求的服务器的内部时钟显然比客户端时钟快几秒钟因此当我签署 CSR 时我需要在证书中设置不早于几秒钟我不想调回服务器的内部时钟因为这看起来像是一个黑客解决方案目前我使用以下命令签署 csr 并生成证书 usercer
了解非 SSL 登录表单的风险

作为 Web 应用程序的用户我倾向于只注册使用 SSL 安全登录表单的服务作为一名开发人员我知道风险在于非 SSL 表单以纯文本形式传输不道德的个人可能会嗅探 HTTP 流量并确定我的登录名和密码但是如果我在家中使用 DSL
Delphi - 引用在运行时创建的组件

我正在使用 Delphi 5 并且在运行时创建许多面板然后在面板上创建按钮显然也是在运行时创建我需要这样做因为将来我可能需要动态创建更多面板按钮组合我可以完成所有这些但我不知道如何引用我创建的面板因为我找不到访问面板组件名称
Telegram 向 webhook 发送重复的 POST JSON 请求

我正在尝试开发用于电报的城市机器人但遇到了问题向机器人发送消息后 Telegram 向 webhook url 发送 2 个重复请求 Webhook 脚本运行两次并向用户发送两次响应脚本来自官方电报文档的 hellobot php
使用 OpenSSL 从证书签名请求中提取请求的有效期

我们使用由 OpenSSL 提供支持的私有证书颁发机构来对我们的客户进行身份验证我们提供了一个简单的基于 Web 的实用程序允许他们上传 CSR 文件以供证书颁发机构签名目前我们只能颁发固定期限的证书目前为 365 天然而我们
为什么我的 Delphi FindDialog 中的光标没有变成沙漏形？

我只是用以下命令打开 FindDialog FindDialog Execute 在我的 FindDialog OnFind 事件中我想将光标更改为沙漏以搜索大文件这可能需要几秒钟所以在 OnFind 事件中我这样做 Screen C
Delphi XE3，丑陋的 StringGrid 边框

与 Delphi 7 相比为什么 XE3 中的 String Grid 边框如此不清晰如何解决这个问题 Delphi 2010 之后所有的网格都是主题化的要在网格上禁用新主题您必须设置属性在对象检查器中将 DrawingStyle
Delphi 生成的 Dylib 在 OSX 上的可靠部署

我想在 OSX 上部署一个 dylib 它是用 Delphi 创建的这个 dylib 应该是可由第三方应用程序加载这看起来像是一个重复的问题但经过大量搜索后我找不到答案这和这个是同一个问题 https forums embarca
在本地主机上设置 (https) SSL 以进行流星开发

如何创建自签名 SSL 证书以在 mac 10 9 上的本地服务器上使用我需要我的本地主机作为https localhost 我正在使用 linkedin API 这里解释了需要本地主机上的 ssl 的功能 https developer
如何导入 Java 密钥库中现有的 X.509 证书和私钥以在 SSL 中使用？

我在 ActiveMQ 配置中有这个
推荐用于 Delphi 棋盘游戏的 2D Sprite 引擎？ [关闭]

Closed 这个问题不符合堆栈溢出指南 help closed questions 目前不接受答案对于 Delphi 精灵引擎我应该考虑哪些选择我知道 GLScene 安道尔 2D 我还缺少什么吗最好是依赖 OpenGL 仅 Di
如何使用 Delphi XE 发送 WCF 的 ClientCredentials

我开发了一个带有自定义的 WCF 服务UserNamePasswordValidator with a basicHttpBinding使用 HTTPS 它与 Net 客户端配合得很好使用 ClientCredentials 发送用户名和
在代理后面使用 Maven 和 SSL 时出现问题

我刚刚下载了 Maven 并尝试运行五分钟内的 Maven 页面上找到的简单命令 http maven apache org guides getting started maven in Five millions html http
设置第二个 TFDPhysFBDriverLink - 可能且必要吗？

我的应用程序有设计时间TFDConnection and TFDPhysFBDriverLink作为源连接这可能会也可能不会在 Firebird 嵌入模式下打开如果是这样 FDPhysFBDriverLink VendorLib fbe
SSL_connect：SSL_ERROR_SYSCALL 连接到 github.com:443

几天后我遇到了 Mac OS High Sierra 10 13 3 的问题当我运行git clone like git clone github com xxx git failed它打印 LibreSSL SSL connect S
使用 Indy 组件下载、暂停和恢复下载

实际上我正在使用 TIdHTTP 组件从互联网下载文件我想知道是否可以使用此组件或另一个 indy 组件暂停和恢复下载这是我当前的代码这可以正常下载文件没有简历但是现在我想暂停下载关闭我的应用程序当我的应用程序重新启动时然后
如何清除客户端.Net SSL会话缓存

我正在编写一个小测试工具它使用 HttpWebRequest 来负载测试服务器我想要每次我尝试调用 HttpWebRequest GetResponse 时它都会建立一个新的 SSL 会话而不是使用缓存中的会话注意我提供客户端
保留部分桌面

如何使用 Delphi 保留桌面的一侧像 Vista 侧边栏那样的东西你想要的叫做应用程序桌面工具栏 http msdn microsoft com en us library bb776821 28VS 85 29 aspx 您必须使
NodeJS 生成用于签名和验证消息的有效 PEM 密钥

Context 来自关于 Node v10 9 0 的 TLS SSL 的 NodeJS 文档 2018 年 8 月 https nodejs org api tls html tls tls ssl concepts https node

随机推荐

当我们重写一个方法时，我们应该使用方法签名中的所有参数吗？

我发现一些覆盖方法不使用该方法签名中的所有参数 ex Override protected void setSomething Object a Object b Object c this a a this b b the paramet
如何使用 sed 只替换文件中的第一个匹配项？

我想在任何现有的 include 之前使用额外的 include 指令更新大量 C 源文件对于此类任务我通常使用带有 sed 的小型 bash 脚本来重写文件如何得到sed仅替换文件中字符串的第一次出现而不是替换每个出现的地方 If
Google PlayStore 警告：更新完成后，他们将不再安装针对 22 版本 SDK 或更早版本的 APK

从 PlayStore 收到以下警告这是什么意思 Users with version 15 of the APK targeting 22 version of the SDK or earlier will perform the u
如何序列化 QMap？

我正在尝试学习如何使用以下代码在窗口应用程序中序列化 QMap 对象 include mainwindow h include ui mainwindow h include
在 foreach 期间处置

在这个问题中循环遍历 DirectoryEntry 或任何对象层次结构 C 遍历 LDAP 树的建议答案是 DirectoryEntry root new DirectoryEntry someDN DoSomething root fu
docker：直接通过 SSH 访问容器

到目前为止我们使用了几个linux用户系统 foo 服务器系统栏服务器我们想把系统用户放入docker容器中 linux用户system foo gt 容器system foo 服务器内部的更改不是问题但远程系统使用这些用户向我们
如果未发送 HTTP 标头，如何通过分块编码确定内容数据长度

如果未发送标头而是收到标头如何确定内容数据长度Transfer Encoding chunked header 使用分块编码时将没有 Content Length 标头因此在读取标头和标记标头末尾的一对 CRLF 后您就可以读取第
找不到 Fs2 Stream.Compiler（找不到隐式值 Compiler[[x]F[x],G]）

我正在尝试编译流但不知何故Compiler不在范围内需要什么上下文绑定才能将其纳入范围 import cats Monad def compilingStream F Monad F List Int val stream fs2 St
如何找出谁使用 .NET 在 Windows 中创建了文件？

我需要找出谁使用 NET 创建了文件我已经尝试过以下操作 string FileLocation C test txt FileInfo droppedFile new FileInfo FileLocation FileSecurity
从列表值创建对

我有一个包含一些值的列表比如说 1 2 3 4 5 6 我需要像这样将它们配对 12 13 14 15 16 23 24 25 26 34 35 36 45 46 56 基本上我需要将它们全部混合起来以创建独特的值集您对如何创建这样的
如何从网络浏览器访问 Google Drive API 服务帐户

我使用服务帐户方法来使用 Google Drive API 我需要通过 Web 浏览器访问我的存储以创建文件夹结构并能够快速更改删除添加文件而无需调用 API 命令是否可以登录电子邮件受保护帐户或者还有其他方法吗任何帮
使用 Eloquent 时如何使用 '::whereHas()' 作为 '::with()' 查询的约束？

我有一个疑问 Posts whereHas comments function query query gt where name like asd gt with comments gt get 它返回所有具有名称如 asd 的评论的帖子
java ArrayList 中最常见的 n 个单词

我需要在 ArrayList 中找到最常见的单词 n 个单词因此如果 n 5 则为最常见的 5 个单词 private ArrayList
如何使用重定向和管道创建 bash 命令字符串？

我想使用重定向和或管道创建 bash 命令字符串并使用它来显示命令字符串或执行命令字符串不带重定向或管道的简单命令可以工作但带重定向或管道的一串命令则不行例如 command echo 1 command echo command
字母数字正则表达式 JavaScript

我在获取仅适用于 javascript 的字母数字字符的简单正则表达式时遇到问题 var validateCustomArea function cString customArea val var patt 0 9a zA Z if pa
java.lang.NoClassDefFoundError：java.rmi.server.UID是受限制的类

我使用 GWT 开发一个 Web 应用程序我正在尝试上传文件我的 servlet 工作正常但是当我使用 DiskFileItemFactory 时它给了我错误如果有人可以纠正我的代码或告诉我代码中缺少什么 protected vo
向电话号码添加自定义字段

正在构建一个应用程序需要为每个电话号码提供自定义联系人字段白名单如果您想知道但是我只找到了一种为每个联系人保存自定义数据的方法 Data RAW CONTACT ID 但不是每个电话号码我尝试使用Phone id 但我得到了一个
Laravel SQL Server 连接 ENCRYPT=yes trustServerCertificate=true

我有一个运行 php 5 5 9 laraverl 5 2 的 ubuntu docker 容器它可以成功连接到 SQL Server 并获取结果我正在使用的docker镜像是https hub docker com r h2labs
$sf_response->addStyleSheet() 在 SF 1.4 中不起作用？

有谁知道如何使用 Symfony 1 4 在模板中添加样式表我已经尝试了我能想到的一切从修改 frontend config view yml 到修改模板本身两者都有效我从我的搜索中看到其他人也遇到了同样的问题使用 includ
TIdServerIOHandlerSSLOpenSSL.SSLOptions.CipherList 中密码名称的顺序重要吗？

我将 Web 服务允许的密码限制为仅以下 TLS 1 x 密码 TLS RSA WITH AES 128 CBC SHA TLS RSA WITH AES 128 CBC SHA256 TLS RSA WITH AES 128 GCM SH

TIdServerIOHandlerSSLOpenSSL.SSLOptions.CipherList 中密码名称的顺序重要吗？

TIdServerIOHandlerSSLOpenSSL.SSLOptions.CipherList 中密码名称的顺序重要吗？ 的相关文章

随机推荐

热门标签

TIdServerIOHandlerSSLOpenSSL.SSLOptions.CipherList 中密码名称的顺序重要吗？的相关文章