Sertifikaları Sınırlama

SSL ve TLS'nin izin verilen sürümlerini ayarlamaya ek olarak, bağlama satırına bir ciphers parametresi ekleyerek kullanacağınız şifreleme yöntemini de ayarlayabilirsiniz. Bunlar, listenin sonunu getiren geri dönüş algoritmaları ile tercih edilen sırada ayarlanır. HAProxy, prefer-client-ciphers parametresi yoksa istemcinin de desteklediği ilk şifreyi seçer, bu durumda istemcinin tercih ettiği şifre seçilir.

bind 10.0.0.3:443 ssl crt /etc/ssl/certs/mysite.pem ssl-min-ver TLSv1.2 ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256

Ayrıca, global bölümüne gösterildiği gibi bir ssl-default-bind-ciphers yönergesi ekleyerek varsayılan bir değer ayarlayabilirsiniz:

global
    ssl-default-bind-ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256

PreviousSSL Sürümlerini Sınırlama NextSNI ile Sertifika Seçimi

Last updated 4 years ago