| タイプ: | string |
| デフォルト: | HIGH:MEDIUM:+3DES:!aNULL |
| コンテキスト: | sighup |
| 再起動: | false |
SSL接続で使うことのできるSSL暗号スイートのリストを指定します。設定構文と使用可能な値のリストについてはOpenSSLパッケージのciphersマニュアルをご覧ください。TLSバージョン1.2あるいはそれ以下のバージョンを使用する接続のみが影響を受けます。今の所、TLSバージョン1.3接続で使用される暗号の選択を制御する設定はありません。デフォルト値はHIGH:MEDIUM:+3DES:!aNULLです。特別なセキュリティ要件でなければ通常これが適当です。
このパラメータは、postgresql.confファイルか、サーバのコマンドラインでのみ設定可能です。
デフォルト値の説明: HIGH
HIGHグループ(たとえばAES, Camellia, 3DES)を使用する暗号スイート
MEDIUM
MEDIUMグループ(たとえば RC4, SEED)を使用する暗号スイート
+3DES
OpenSSLのHIGHに対するデフォルトの並び順には問題があります。3DESがAES128より高いとしているからです。3DESはAES128よりもセキュアではなく、またずっと遅いので、これは間違っています。+3DESではそれを他のすべてのHIGHとMEDIUM暗号よりも後に位置づけます。
!aNULL
認証を行わない無名暗号スイートを無効にします。そういった暗号スイートは中間者攻撃に対して脆弱で、使用すべきではありません。
OpenSSLのバージョンにより、利用可能な暗号スイートの詳細は異なります。openssl ciphers -v 'HIGH:MEDIUM:+3DES:!aNULL'コマンドを使って現在インストールされているOpenSSLのバージョンに関する詳細情報を得てください。ここで得られるリストは、サーバキータイプにより実行時にフィルターされることに注意してください。