タイプ: string
デフォルト: HIGH:MEDIUM:+3DES:!aNULL
コンテキスト: sighup
再起動: false

SSL接続で使うことのできるSSL暗号スイートのリストを指定します。設定構文と使用可能な値のリストについてはOpenSSLパッケージのciphersマニュアルをご覧ください。TLSバージョン1.2あるいはそれ以下のバージョンを使用する接続のみが影響を受けます。今の所、TLSバージョン1.3接続で使用される暗号の選択を制御する設定はありません。デフォルト値はHIGH:MEDIUM:+3DES:!aNULLです。特別なセキュリティ要件でなければ通常これが適当です。

このパラメータは、postgresql.confファイルか、サーバのコマンドラインでのみ設定可能です。

デフォルト値の説明: HIGH

  • HIGHグループ(たとえばAES, Camellia, 3DES)を使用する暗号スイート

  • MEDIUM
  • MEDIUMグループ(たとえば RC4, SEED)を使用する暗号スイート

  • +3DES
  • OpenSSLのHIGHに対するデフォルトの並び順には問題があります。3DESがAES128より高いとしているからです。3DESはAES128よりもセキュアではなく、またずっと遅いので、これは間違っています。+3DESではそれを他のすべてのHIGHMEDIUM暗号よりも後に位置づけます。

  • !aNULL
  • 認証を行わない無名暗号スイートを無効にします。そういった暗号スイートは中間者攻撃に対して脆弱で、使用すべきではありません。

  • OpenSSLのバージョンにより、利用可能な暗号スイートの詳細は異なります。openssl ciphers -v 'HIGH:MEDIUM:+3DES:!aNULL'コマンドを使って現在インストールされているOpenSSLのバージョンに関する詳細情報を得てください。ここで得られるリストは、サーバキータイプにより実行時にフィルターされることに注意してください。

    推奨事項 [EN]

    Allows DBAs to require “strong enough” or preset ciphers for SSL connections. If you have not compiled SSL support, this parameter will not be available.

    件のコメント