kubernetes nginx入口控制器弱密码

Question

在Kubernetes Nginx入口控制器中使用缺省密码值证明了两个密码器是弱的：在这里输入图像描述。

为了替换弱密码，我需要设置哪些值？

Answer 1

让我们从更大的角度来看这个。

所有的TLS_RSA密匙都被标记为WEAK，因为它们不提供前向保密:如果私钥在将来被泄露，所有记录的流量都可以使用它解密。

您列出的实现这两个加密套件的唯一主要浏览器是Safari，Safari自2015年以来一直支持GCM密码套件。一般来说，任何密码套件没有说CHACHA20、GCM或CCM，现在都被标记为weak或insecure。

您可以如下所示替换它们：

• ECDHE-RSA-AES256-SHA384到TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• ECDHE-RSA-AES128-SHA256到TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

但根据本源

SSL实验室使用CBC识别带有橙色和文本弱的密码套件。这一变化不会对年级产生任何影响，因为它只意味着SSL实验室会进一步阻止基于CBC的密码套件的使用。

所有使用密码块链接CBC的密匙套件都不是自动的WEAK，但是有太多的实现容易受到填充的甲骨文攻击，所以他们决定将它们全部标记为WEAK。

另一种选择是完全删除这两个值并使用DHE加密套件，只要它们的密钥长度至少为2048位，并使用GCM模式：DHE-RSA-AES256-GCM-SHA384，DHE-RSA-AES128-GCM-SHA256。

您也可以考虑完全删除它们，但实际上不必这样做，因为您的实现没有标记为易受攻击。只有易受新的僵尸犬和金道道漏洞攻击的实现才会被分级为F。

希望能帮上忙。