Type: string
Défaut: HIGH:MEDIUM:+3DES:!aNULL
Contexte: sighup
Redémarrer: false

Donne une liste d'algorithmes SSL autorisées à être utilisés sur des connexions SSL. Voir la page de manuel de ciphers dans le paquet OpenSSL pour la syntaxe de ce paramètre et une liste des valeurs supportées. Seules les connexions utilisant TLS version 1.2 et antérieures sont impactées. Il n'existe actuellement pas de paramètre contrôlant le choix des algorithmes utilisés par les connexions avec TLS version 1.3. La valeur par défaut est HIGH:MEDIUM:+3DES:!aNULL. Cette valeur est généralement raisonnable, sauf si vous avez des besoins spécifiques en terme de sécurité.

Ce paramètre peut seulement être configuré dans le fichier postgresql.conf ou sur la ligne de commande du serveur.

Voici une explication de la valeur par défaut ;: HIGH

  • Algorithmes du groupe HIGH (par exemple AES, Camellia, 3DES)

  • MEDIUM
  • Algorithmes du groupe MEDIUM (par exemple RC4, SEED)

  • +3DES
  • L'ordre par défaut dans HIGH est problématique car il positionne 3DES avant AES128. Ceci est mauvais parce que 3DES offre moins de sécurité que AES128, et il est aussi bien moins rapide. +3DES le réordonne après les algorithmes des groupes HIGH et MEDIUM.

  • !aNULL
  • Désactive les algorithmes anonymes qui ne font pas d'authentification. Ces algorithmes sont vulnérables à des attaques de type man-in-the-middle et ne doivent donc pas être utilisés.

  • Les détails sur les algorithmes varient suivant les versions d'OpenSSL. Utiliser la commande openssl ciphers -v 'HIGH:MEDIUM:+3DES:!aNULL' pour voir les détails réels de la version OpenSSL actuellement installée. Notez que cette liste est filtrée à l'exécution suivant le type de clé du serveur.

    Recommandations [EN]

    Allows DBAs to require “strong enough” or preset ciphers for SSL connections. If you have not compiled SSL support, this parameter will not be available.

    Commentaires