如何在nginx中向ssl_ciphers中添加ssl密码

Question

我正在使用“让我们加密”在我的服务器上安装一个免费的TLS/SSL证书。我按照Mozilla SSL配置生成器的建议配置了nginx，如下所示：

ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";

问题是，我需要Java 7与服务器进行通信，而上面的配置却不起作用。

当我将我的站点提交给ssllabs时，我会收到以下消息：

Java 7u25   Server sent fatal alert: handshake_failure

如果我只是在nginx配置中注释ssl_ciphers行，那么与Java 7的通信就会开始工作。

# After commenting the line below it works
# ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";

因此，我从ssllabs收到以下消息

Java 7u25   RSA 2048 (SHA256)   TLS 1.0 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

我不想让ssl_ciphers行评论，因为nginx将使用它的默认配置，这是不太安全的。

我只想将密码TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA添加到ssl_ciphers列表中。

有可能吗？该怎么做呢？

Answer 1

在OpenSSL密码列表或这张来自testssl.sh的漂亮桌子中，TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA对应于ECDHE-RSA-AES128-SHA。因此，您可以将ssl_ciphers指令设置为

ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH:ECDHE-RSA-AES128-SHA";

Answer 2

查找规范名称

openssl ciphers -tls1_2 -stdname -V   | grep TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
      0xC0,0x27 - TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - ECDHE-RSA-AES128-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA256
      0xC0,0x13 - TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - ECDHE-RSA-AES128-SHA    TLSv1 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA1

现在，您可以显式地将它从nginx配置中排除。

ssl_ciphers 'HIGH:!aNULL:!MD5:!ECDHE-RSA-AES128-SHA';