Toggle navigation
Type: string
Défaut: HIGH:MEDIUM:+3DES:!aNULL
Contexte: sighup
Redémarrer: false

Donne une liste d'algorithmes SSL autorisées à être utilisés sur des connexions sécurisées. Voir la page de manuel de ciphers dans le paquet OpenSSL pour la syntaxe de ce paramètre et une liste des valeurs supportées. Ce paramètre peut uniquement être modifié dans le fichier La valeur par défaut est HIGH:MEDIUM:+3DES:!aNULL. Cette valeur par défaut est généralement un choix raisonnable à moins que vous n'ayez des contraintes de sécurité spécifiques.

Voici une explication de la valeur par défaut ;: HIGH

  • Algorithmes du groupe HIGH (par exemple AES, Camellia, 3DES)

  • MEDIUM
  • Algorithmes du groupe MEDIUM (par exemple RC4, SEED)

  • +3DES
  • L'ordre par défaut dans HIGH est problématique car il positionne 3DES avant AES128. Ceci est mauvais parce que 3DES offre moins de sécurité que AES128, et il est aussi bien moins rapide. +3DES le réordonne après les algorithmes des groupes HIGH et MEDIUM.

  • !aNULL
  • Désactive les algorithmes anonymes qui ne font pas d'authentification. Ces algorithmes sont vulnérables à des attaques de type man-in-the-middle et ne doivent donc pas être utilisés.

  • Les détails sur les algorithmes varient suivant les versions d'OpenSSL. Utiliser la commande openssl ciphers -v 'HIGH:MEDIUM:+3DES:!aNULL' pour voir les détails réels de la version OpenSSL actuellement installée. Notez que cette liste est filtrée à l'exécution suivant le type de clé du serveur.

    Recommandations [EN]

    Allows DBAs to require “strong enough” or preset ciphers for SSL connections. If you have not compiled SSL support, this parameter will not be available.

    Commentaires