apache 2.4中最强的密码套件

Question

我试图只使用我尝试过的文档中最强大的ciper套件：

SSLCipherSuite HIGH:!aNULL:!MD5

但是浏览器说它已经过时了：

目前最强的是什么？

Answer 1

最强的可能不是很好的决定。但Chrome希望看到类似TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256的东西，即密码套件必须在Galois计数器模式下使用DHE或ECDHE和AES。

或者，您可以使用CHACHA20_POLY1305作为对称算法。

Answer 2

IETF推荐密码套件

• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

从2015年5月开始在RFC-7525第4.2节，我认为这是一个很好的选择。

然而，EC变体几乎总是使用NIST曲线(secp256r1、secp384r1、secp521r1)，这些曲线被描述为这里。

Answer 3

注意，最强大的可用密码套件不是由Apache决定的；它依赖于openssl的版本(或任何其他ssl实现)或您的操作系统。仍然有一些操作系统提供了openssl-0.9.8 :-(