Ten en cuenta que en las ciencias un error casi siempere puede tener varias resoluciones, no obstante te mostramos lo más óptimo y eficiente.
Puedes usar !SHA1:!SHA256:!SHA384
para deshabilitar todos los cifrados del modo CBC. Hay algunos que no son CBC false positivos que también serán deshabilitados (RC4
, NULL
), pero probablemente también quiera deshabilitarlos de todos modos.
Tenga en cuenta que mientras GCM
y CHACHA20
los cifrados tienen SHA*
en su nombre, no están deshabilitados porque usan su propio algoritmo MAC. Él SHA*
en su nombre es para la PRF, no para la MAC
Pasé una buena cantidad de tiempo en los últimos días tratando de obtener una lista perfecta para ssllabs. Gracias en parte a esto, esto es lo que funciona:
SSLCipherSuite ALL:!RSA:!CAMELLIA:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4:!SHA1:!SHA256:!SHA384
De acuerdo con la lista de cadenas de cifrado proporcionadas en la documentación (cifrados de hombre), no hay string describiendo todos los cifrados CBC. Esto significa que no existe una forma sencilla de deshabilitar todos estos (y solo estos) con un simple !CBC
o similar.
Tienes la opción de auxiliar nuestro quehacer fijando un comentario o dejando una puntuación te estamos agradecidos.