Toggle navigation
タイプ: string
デフォルト: HIGH:MEDIUM:+3DES:!aNULL
コンテキスト: sighup
再起動: false

セキュアな接続で使用できるSSL暗号スイートのリストを指定します。設定構文と使用可能な値のリストについてはOpenSSLパッケージのciphersマニュアルをご覧ください。このパラメータは、postgresql.confファイルか、サーバのコマンドラインでのみ設定可能です。デフォルト値はHIGH:MEDIUM:+3DES:!aNULLです。特別なセキュリティ要件でなければ通常これが適当です。

デフォルト値の説明: HIGH

  • HIGHグループ(たとえばAES, Camellia, 3DES)を使用する暗号スイート

  • MEDIUM
  • MEDIUMグループ(たとえば RC4, SEED)を使用する暗号スイート

  • +3DES
  • OpenSSLのHIGHに対するデフォルトの並び順には問題があります。3DESがAES128より高いとしているからです。3DESはAES128よりもセキュアではなく、またずっと遅いので、これは間違っています。+3DESではそれを他のすべてのHIGHMEDIUM暗号よりも後に位置づけます。

  • !aNULL
  • 認証を行わない無名暗号スイートを無効にします。そういった暗号スイートは中間者攻撃に対して脆弱で、使用すべきではありません。

  • OpenSSLのバージョンにより、利用可能な暗号スイートの詳細は異なります。openssl ciphers -v 'HIGH:MEDIUM:+3DES:!aNULL'コマンドを使って現在インストールされているOpenSSLのバージョンに関する詳細情報を得てください。ここで得られるリストは、サーバキータイプにより実行時にフィルターされることに注意してください。

    推奨事項 [EN]

    Allows DBAs to require “strong enough” or preset ciphers for SSL connections. If you have not compiled SSL support, this parameter will not be available.

    件のコメント