Akamai公司的遗产SSL/TLS密码配置文件

Question

我正在进行一项关于CDN安全性的研究，并注意到在下面的文档https://community.akamai.com/docs/DOC-5175中，名为“akamai支持的密码套件”包括以下内容：

ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES256-SHA384
ECDHE-ECDSA-AES128-SHA256
ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES256-SHA
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
AES256-GCM-SHA384
AES128-GCM-SHA256
AES256-SHA256
AES128-SHA256
AES128-SHA
DES-CBC3-SHA

我的问题是，上述清单中的下列密码是否支持完善的前向保密？

AES256-GCM-SHA384
AES128-GCM-SHA256
AES256-SHA256
AES128-SHA256
AES128-SHA
DES-CBC3-SHA

Answer 1

您提到的少数密码套件没有PFS，因为它们都使用RSA作为密钥交换。只有列表中的ECDHE密码才有PFS，因为它们使用ECDH作为密钥交换。

Answer 2

您提到的密码套件似乎使用的是OpenSSL名称，而不是RFC的名称。您可以找到一个将一个表映射到另一个这里的表。请注意，基于RSA的密码套件当然不提供PFS。你需要DHE或ECDHE (短暂-短期密钥协议)才能有完美的前向保密。

通常，OpenSSL名称应该包含EDH、DHE或ECDHE来提供PFS，而且您提到的密码套件都不包含该序列。因此，答案是否定的，没有PFS。