为 https 选择合适的加密套件？

为 Windows 下 IIS 配置的工具：

https://www.nartac.com/Products/IISCrypto/

 

其它网站服务的 SSL 密码套件配置工具：

Mozilla SSL Configuration Generator：https://ssl-config.mozilla.org/

注意：在右上角可输入 nginx 版本号，不同版本号生成内容不同

相关文档：https://wiki.mozilla.org/Security/Server_Side_TLS

 

其它类似的工具网站：

SSL CIPHERS：https://sslciphers.com/

Strong Ciphers for Apache, nginx and Lighttpd：https://cipherlist.eu/

 

在线扫描网站：

SSL 配置：https://www.ssllabs.com/ssltest/index.html

HTTP 头信息安全性：https://securityheaders.com/

整体扫描：https://web-check.xyz/

 

查看所应用的具体算法列表：

使用 OpenSSL 工具以下命令即可查看对应套件字符串的完整列表

openssl ciphers -v 'ECDHE+AESGCM:HIGH:!aNULL:!DSA:!ADH:!DH:!DES:!3DES:!SEED:!RC4:!CBC:!MD5:!SHA1'

更多命令参考文档：https://www.openssl.org/docs/man1.1.1/man1/ciphers.html

 

算法套件字符串解析：

密钥套件之间用4个分隔符之一分开——冒号、分号、逗号或者空格，一般使用冒号。如下密钥套件列表中包含了所有特殊字符：

EECDH+AESGCM:+EECDH+AES256:ALL:-RSA+3DES:!DH:!PSK:!KRB5:!MD5:!RC4:!aNULL:!EXP:!LOW:!SSLV2:!NULL

其说明如下：

EECDH+AESGCM：同时包含EECDH和AESGCM算法的密钥套件，+号相当于『与』操作。  
密钥套件前面+号：将该算法移到算法列表的末尾。这个选项不会添加任何新的算法，它只是紧紧的移动匹配的已经存在的算法。  
密钥套件前面-号：从算法列表中删除该算法。但是可以通过后面的选项将一个或所有的算法可以被再次添加。  
密钥套件前面!号：从算法列表中删除该算法。删除了的算法将不会再出现。

参考：https://developer.aliyun.com/article/236787

 

算法字符串解析：

、

参考：https://m01ly.github.io/2021/07/06/htps-recommend/

 

参考 nginx 配置：

时效可能不是最新了，仅供参考

https://imququ.com/post/my-nginx-conf.html