Назад | Перейти на главную страницу

Связь SSL S2S, протокол и шифры

о связи сервер / сервер S2S:

1-й сервер имеет Apache .conf:

SSLProtocol             all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite          ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
SSLHonorCipherOrder     on

итак, только TLS1.2, взятый из генератора Mozilla SSL (современный)

второй сервер использует шифры TLS1.0, TLS1.1, TLS1.2 и CBC в предпочтительном порядке

например. для TLS1.2

TLS_RSA_WITH_AES_256_CBC_SHA256 (0x3d)  256
TLS_RSA_WITH_AES_128_CBC_SHA256 (0x3c)  128
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f)

Вопросы такие:

1) является 1-м SSLHonorCipherOrder on вопрос? Если оба включили, как выбирается порядок?

2) сначала рукопожатие извлекает протокол (ы), используемый обоими серверами, чтобы выбрать правильный?

3) почему в журнале сервера нет ошибок, даже если он не должен работать (я думаю ...)?

Спасибо

Для вопросов 1 и 2 не должно быть проблем, если эта директива включена. Это приказ apache, который говорит: используйте предпочтительные шифры в этом порядке, будет использоваться первое доступное совпадение. Теоретически вы не должны проходить мимо TLS_RSA_WITH_AES_256_CBC_SHA256.

Но если по какой-то причине рукопожатие не удалось, можно было использовать следующий шифр. Я не думаю, что вы должны получать для этого какие-либо ошибки журнала.