SSL CipherSuite选择

Question

在SSL/TLS中，CipherSuite是由服务器还是客户端选择的？此外，证书可以以任何方式命令或修改CipherSuite吗？

Answer 1

客户端发送它支持的密码套件列表。然后，服务器从客户端发送的密码套件中选择将要使用的密码套件。因此，服务器在客户端支持的范围内选择密码套件(或者愿意承认它支持什么)。

此外，客户端发送的受支持密码套件列表应该按偏好排序；礼貌的服务器应该在客户端和服务器支持的套件中选择客户机最喜欢的套件。并不是所有的SSL/TLS服务器都很有礼貌。

证书会影响选择。例如，密码套件"TLS_RSA_*“假定服务器的公钥是RSA类型，适合加密；如果服务器的密钥不是RSA密钥，或者如果证书中的扩展(即”密钥使用“扩展)禁止基于加密的密钥交换(例如，仅签名的证书)，则不能使用它们。