nginxの暗号TLS_RSA_WITH_3DES_EDE_CBC_SHA

Question

は、私がNISTガイドラインに準拠するように自分のサーバー上でこの暗号TLS_RSA_WITH_3DES_EDE_CBC_SHAを許可することができ、私は私のnginx.confでこれを置く：

ssl_ciphers 'DES-CBC3-SHA:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:!aNULL:!eNULL:!EXPORT:!RC4:!MD5:!PSK:!aECDH'; 

を私はi「は入れていたと思ったデスCBC3-SHA 'はまだTLSv1.1とTLS1.0では有効になっていません

どうすればいいですか？

Answer 1

OpenSSLのバージョンは不明です。 OpenSSL 1.1.0を使用している場合、この暗号は破損しているとみなされるため、デフォルトではコンパイルされません。この暗号を使用するには、OpenSSLのカスタムビルドが必要です。詳細はSSL v3 Handshake Failure (but only in newer versions of OpenSSL)を参照してください。

実際にこの壊れた暗号を使用したい場合でも、暗号化文字列の末尾に追加するだけで、これらのより安全な暗号がすべて優先され、DES-CBC3-SHAは（weak ） 後退する。