近期很多網路服務都開始停止支援TLS v1.0和TLS v1.1,轉用TLS v1.2以上protocol,因此該服務與TLS v1.2通信協定相對應的加密演算法(Ciphers)設定也需要做對應的調整,例如vsftpd要支援TLS v1.2,則vsftpd.conf我們可以修改設定為
ssl_sslv2=NO
ssl_sslv3=NO
ssl_tlsv1=NO
ssl_tlsv1_1=NO
ssl_tlsv1_2=YES
ssl_ciphers=TLSv1.2:!aNULL:!eNULL
其中TLSv1.2:!aNULL:!eNULL這串設定到底支援那些加密演算法,可以透過執行下列指令來查詢:
openssl ciphers -v 'TLSv1.2:!aNULL:!eNULL'
我們可以透過wc -l來確認調整cipherlist參數後數字有沒有降低
openssl ciphers -v 'TLSv1.2'|wc -l
openssl ciphers -v 'TLSv1.2:!aNULL'|wc -l
openssl ciphers -v 'TLSv1.2:!aNULL:!eNULL'|wc -l
參考文件:
https://www.openssl.org/docs/man1.0.2/man1/ciphers.html
![[Post New]](/templates/default/images/icon_minipost_new.gif){kind=icon}
![[Up]](/templates/default/images/icon_up.gif){kind=icon}
![[Avatar]](/images/avatar/c81e728d9d4c2f636f067f89cc14862c.jpg)
![[WWW]](/templates/default/images/icon_www.gif){kind=icon}
