ssl.conf
ファイルに追加する必要がある禁止および推奨暗号スイートのリストがあります。これにはいくつかの問題があります。
たとえば、ECDH*
で始まる15の暗号スイートをすべて無効にして許可する必要があります。ECDHE*
ECDHE-RSA-AES128-SHA256
どのように機能するように設定しますか?
ベストアンサー1
したがって、設定ファイルの構文を知っているように見えますが、膨大なパスワードリスト(テキスト編集の問題)を扱いたくありません。
シェルコマンドで提供されるECDHE*パスワードのリスト
openssl ciphers | tr ":" "\n" | grep ^ECDHE | tr "\n" ":" | sed 's/:$//'
名前がECDH *で始まらないパスワードで実行する操作を指定する代わりに、パラメーターを次のように変更します。grep上記では、任意の種類のパスワードのリストを取得し、必要に応じてテキストエディタでそれらをリンクできます。したがって、AES128* パスワード・リストではなく AES パスワード・リストを取得するには、次のように話します。^AES[^1]
ただし、リスト内のパスワードの順序が重要な場合があるため、一部の手動調整が依然として必要になる場合があります。サーバーがアクティブなリストに表示される順序でパスワードを試すように指定でき、指定する必要があります。