Ciphersuite Приоритет И Рукопожатие
Я запустил программу под названием cipherscan против двух серверов, которые общаются друг с другом через TLS.
Cipherscan печатает подробную информацию о возможностях TLS каждого сервера. Учитывая данные, я задаюсь вопросом, как определить, какой набор согласован этими двумя серверами, могу ли я предположить, что это то, что является наивысшим приоритетом, который поддерживают оба?
Что должно точно соответствовать?
Я поставил звездочку там, где я думал, что рассматриваемые серверы могли бы установиться, но удивился, если это верно, могут ли они выбрать другой перечисленный набор шифров?
В случае звездочки, шифр, версия протокола и обмен ключами (pfs) были одинаковыми. Я не уверен, что должно соответствовать, и что может отличаться.
Спасибо, см
Target: myXMPP:5223
prio ciphersuite protocols pfs curves
1 ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 ECDH,B-571,570bits sect163k1,sect163r1,sect163r2,sect193r1,sect193r2,sect233k1,sect233r1,sect239k1,sect283k1,sect283r1,sect409k1,sect409r1,sect571k1,sect571r1,secp160k1,secp160r1,secp160r2,secp192k1,prime192v1,secp224k1,secp224r1,secp256k1,prime256v1,secp384r1,secp521r1
2 ECDHE-RSA-AES256-SHA384 TLSv1.2 ECDH,B-571,570bits sect163k1,sect163r1,sect163r2,sect193r1,sect193r2,sect233k1,sect233r1,sect239k1,sect283k1,sect283r1,sect409k1,sect409r1,sect571k1,sect571r1,secp160k1,secp160r1,secp160r2,secp192k1,prime192v1,secp224k1,secp224r1,secp256k1,prime256v1,secp384r1,secp521r1
3 ECDHE-RSA-AES256-SHA TLSv1,TLSv1.1,TLSv1.2 ECDH,B-571,570bits sect163k1,sect163r1,sect163r2,sect193r1,sect193r2,sect233k1,sect233r1,sect239k1,sect283k1,sect283r1,sect409k1,sect409r1,sect571k1,sect571r1,secp160k1,secp160r1,secp160r2,secp192k1,prime192v1,secp224k1,secp224r1,secp256k1,prime256v1,secp384r1,secp521r1
* 4 DHE-RSA-AES256-GCM-SHA384 TLSv1.2 DH,1024bits None
5 DHE-RSA-AES256-SHA256 TLSv1.2 DH,1024bits None
6 DHE-RSA-AES256-SHA TLSv1,TLSv1.1,TLSv1.2 DH,1024bits None
7 AES256-GCM-SHA384 TLSv1.2 None None
8 AES256-SHA256 TLSv1.2 None None
9 AES256-SHA TLSv1,TLSv1.1,TLSv1.2 None None
10 ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 ECDH,B-571,570bits sect163k1,sect163r1,sect163r2,sect193r1,sect193r2,sect233k1,sect233r1,sect239k1,sect283k1,sect283r1,sect409k1,sect409r1,sect571k1,sect571r1,secp160k1,secp160r1,secp160r2,secp192k1,prime192v1,secp224k1,secp224r1,secp256k1,prime256v1,secp384r1,secp521r1
11 ECDHE-RSA-AES128-SHA256 TLSv1.2 ECDH,B-571,570bits sect163k1,sect163r1,sect163r2,sect193r1,sect193r2,sect233k1,sect233r1,sect239k1,sect283k1,sect283r1,sect409k1,sect409r1,sect571k1,sect571r1,secp160k1,secp160r1,secp160r2,secp192k1,prime192v1,secp224k1,secp224r1,secp256k1,prime256v1,secp384r1,secp521r1
12 ECDHE-RSA-AES128-SHA TLSv1,TLSv1.1,TLSv1.2 ECDH,B-571,570bits sect163k1,sect163r1,sect163r2,sect193r1,sect193r2,sect233k1,sect233r1,sect239k1,sect283k1,sect283r1,sect409k1,sect409r1,sect571k1,sect571r1,secp160k1,secp160r1,secp160r2,secp192k1,prime192v1,secp224k1,secp224r1,secp256k1,prime256v1,secp384r1,secp521r1
13 DHE-RSA-AES128-GCM-SHA256 TLSv1.2 DH,1024bits None
14 DHE-RSA-AES128-SHA256 TLSv1.2 DH,1024bits None
15 DHE-RSA-AES128-SHA TLSv1,TLSv1.1,TLSv1.2 DH,1024bits None
16 AES128-GCM-SHA256 TLSv1.2 None None
17 AES128-SHA256 TLSv1.2 None None
18 AES128-SHA TLSv1,TLSv1.1,TLSv1.2 None None
19 ECDHE-RSA-DES-CBC3-SHA TLSv1,TLSv1.1,TLSv1.2 ECDH,B-571,570bits sect163k1,sect163r1,sect163r2,sect193r1,sect193r2,sect233k1,sect233r1,sect239k1,sect283k1,sect283r1,sect409k1,sect409r1,sect571k1,sect571r1,secp160k1,secp160r1,secp160r2,secp192k1,prime192v1,secp224k1,secp224r1,secp256k1,prime256v1,secp384r1,secp521r1
20 EDH-RSA-DES-CBC3-SHA TLSv1,TLSv1.1,TLSv1.2 DH,1024bits None
21 DES-CBC3-SHA TLSv1,TLSv1.1,TLSv1.2 None None
Target: myLDAP:636
prio ciphersuite protocols pubkey_size signature_algoritm trusted ticket_hint ocsp_staple npn pfs curves curves_ordering
* 1 DHE-RSA-AES256-GCM-SHA384 TLSv1.2 2048 sha256WithRSAEncryption True None False None DH,1024bits None
2 DHE-RSA-AES128-GCM-SHA256 TLSv1.2 2048 sha256WithRSAEncryption True None False None DH,1024bits None
3 DHE-RSA-AES256-SHA256 TLSv1.2 2048 sha256WithRSAEncryption True None False None DH,1024bits None
4 DHE-RSA-AES256-SHA TLSv1,TLSv1.1,TLSv1.2 2048 sha256WithRSAEncryption True None False None DH,1024bits None
5 DHE-RSA-AES128-SHA256 TLSv1.2 2048 sha256WithRSAEncryption True None False None DH,1024bits None
6 DHE-RSA-AES128-SHA TLSv1,TLSv1.1,TLSv1.2 2048 sha256WithRSAEncryption True None False None DH,1024bits None
7 EDH-RSA-DES-CBC3-SHA TLSv1,TLSv1.1,TLSv1.2 2048 sha256WithRSAEncryption True None False None DH,1024bits None
8 AES256-GCM-SHA384 TLSv1.2 2048 sha256WithRSAEncryption True None False None None None
9 AES128-GCM-SHA256 TLSv1.2 2048 sha256WithRSAEncryption True None False None None None
10 AES256-SHA256 TLSv1.2 2048 sha256WithRSAEncryption True None False None None None
11 AES256-SHA TLSv1,TLSv1.1,TLSv1.2 2048 sha256WithRSAEncryption True None False None None None
12 AES128-SHA256 TLSv1.2 2048 sha256WithRSAEncryption True None False None None None
13 AES128-SHA TLSv1,TLSv1.1,TLSv1.2 2048 sha256WithRSAEncryption True None False None None None
14 DES-CBC3-SHA TLSv1,TLSv1.1,TLSv1.2 2048 sha256WithRSAEncryption True None False None None None
15 ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 2048 sha256WithRSAEncryption True None False None ECDH,P-384,384bits prime256v1,secp384r1 client
16 ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 2048 sha256WithRSAEncryption True None False None ECDH,P-384,384bits prime256v1,secp384r1 client
17 ECDHE-RSA-AES256-SHA384 TLSv1.2 2048 sha256WithRSAEncryption True None False None ECDH,P-384,384bits prime256v1,secp384r1 client
18 ECDHE-RSA-AES256-SHA TLSv1,TLSv1.1,TLSv1.2 2048 sha256WithRSAEncryption True None False None ECDH,P-384,384bits prime256v1,secp384r1 client
19 ECDHE-RSA-AES128-SHA256 TLSv1.2 2048 sha256WithRSAEncryption True None False None ECDH,P-384,384bits prime256v1,secp384r1 client
20 ECDHE-RSA-AES128-SHA TLSv1,TLSv1.1,TLSv1.2 2048 sha256WithRSAEncryption True None False None ECDH,P-384,384bits prime256v1,secp384r1 client
21 ECDHE-RSA-DES-CBC3-SHA TLSv1,TLSv1.1,TLSv1.2 2048 sha256WithRSAEncryption True None False None ECDH,P-384,384bits prime256v1,secp384r1 client
1 ответ
Учитывая данные, мне интересно, как определить, какой набор согласован этими двумя серверами..
"сервер" имеет разные значения, например:
- конкретное приложение, такое как веб-сервер
- система, в которой работают такие приложения
- роль в обмене данными, то есть в случае TLS роль клиента инициирует соединение TLS, а роль сервера принимает соединение
Ваше сканирование показывает только то, что шифры поддерживает конкретная роль сервера TLS (т. Е. Веб-сервер, почтовый сервер...), т.е. предоставляет информацию о конкретной части конкретного приложения. Любое другое серверное приложение в системе может использовать разные шифры и порядок шифрования. Даже одно приложение может иметь разные роли сервера с разными шифрами (например, один веб-сервер прослушивает несколько портов с разной конфигурацией). Кроме того, шифры, показанные для конкретной роли сервера TLS, не означают, что одно и то же приложение использует те же шифры и порядок в роли клиента TLS, или даже то, что какое-то другое приложение в той же системе будет использовать тот же набор и порядок шифрования.
Таким образом, имеющаяся у вас информация не может быть использована для определения того, какой шифр будет использоваться для связи между этими серверами. Его можно использовать, чтобы выяснить, какие шифры не будут использоваться.