安全策略
什么是安全策略
安全策略包括两个方面:
- TLS版本
- 加密套件
其中加密套件(Cipher suite)是TLS/SSL网络协议中的一个概念。目前,一个TLS加密套件中包含了:密钥交换算法、批量加密算法、消息认证码算法、伪随机函数。每一个被支持的加密套件都可以使用openssl ciphers指令检查其内容,例如:
# openssl ciphers -v ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(128) Mac=AEAD
网易云SSL服务提供的安全策略在此基础上限定TLS版本,例如:sslv3, tlsv1, tlsv1.1, tlsv2。
网易云提供的安全策略
截止到2017年12月,网易云提供了如下安全策略:
- 2017-12-COMMON
- 2017-12-HIGH
- LEGACY-NLB
- LEGACY-1
其中,名称为${日期}-COMMON的套件表示在该时间前,加密强度比较高,且适用范围比较广的套件。${日期}-HIGH的套件表示在该时间前,强度非常高,但是适用面较窄的套件。而LEGACY-开头的加密套件仅为了兼容而保留。
使用${日期}-命名,是因为加密套件随时可能因实现bug或算法本身的漏洞而变得不安全。这时我们会及时给出新的加密套件,并以新的日期对其命名,原有加密套件保留不作修改。
如何选择加密套件
在大部分情况下,您都可以选择${最新日期}-COMMON作为加密套件,例如2017-12-COMMON,这也是页面上默认选中的套件。若您的应用对安全性要求较高,且对客户端兼容性没有要求,则可以选择${最新日期}-HIGH,例如2017-12-HIGH。
此外,曾经负载均衡实例上使用的cipher被定义为LEGACY-NLB,也可以供您选择。
若您的应用需要兼容较老的客户端,例如IE6、JAVA1.6等,则需要选择以LEGACY-${n}为名称的套件,例如LEGACY-1。
加密套件详情
| 兼容性/TLS版本/加密套件 | 2017-12-COMMON | 2017-12-HIGH | LEGACY-NLB | LEGACY-1 |
|---|---|---|---|---|
| JAVA 1.6 | Y | |||
| JAVA 1.7 | Y | Y | Y | |
| JAVA 1.8 / 9 | Y | Y | Y | Y |
| IE 6 | Y | |||
| FIREFOX / CHROME / SAFARI | Y | Y | Y | Y |
| -- | -- | -- | -- | -- |
| TLS v1.2 | Y | Y | Y | Y |
| TLS v1.1 | Y | Y | Y | |
| TLS v1 | Y | Y | Y | |
| SSL v3 | Y | |||
| -- | -- | -- | -- | -- |
| ECDHE-ECDSA-AES128-GCM-SHA256 | Y | Y | Y | Y |
| ECDHE-RSA-AES128-GCM-SHA256 | Y | Y | Y | Y |
| ECDHE-ECDSA-AES256-GCM-SHA384 | Y | Y | Y | Y |
| ECDHE-RSA-AES256-GCM-SHA384 | Y | Y | Y | Y |
| DHE-RSA-AES128-GCM-SHA256 | Y | Y | Y | |
| DHE-DSS-AES128-GCM-SHA256 | Y | Y | ||
| DHE-RSA-AES256-GCM-SHA384 | Y | Y | Y | |
| DHE-DSS-AES256-GCM-SHA384 | Y | Y | ||
| ECDHE-ECDSA-AES128-SHA256 | Y | Y | Y | Y |
| ECDHE-RSA-AES128-SHA256 | Y | Y | Y | Y |
| ECDHE-ECDSA-AES128-SHA | Y | Y | Y | |
| ECDHE-RSA-AES256-SHA384 | Y | Y | Y | Y |
| ECDHE-RSA-AES128-SHA | Y | Y | Y | |
| ECDHE-ECDSA-AES256-SHA384 | Y | Y | Y | Y |
| ECDHE-ECDSA-AES256-SHA | Y | Y | Y | |
| ECDHE-RSA-AES256-SHA | Y | Y | Y | |
| DHE-RSA-AES128-SHA256 | Y | Y | Y | |
| DHE-DSS-AES128-SHA256 | Y | Y | ||
| DHE-RSA-AES128-SHA | Y | Y | Y | |
| DHE-DSS-AES128-SHA | Y | Y | ||
| DHE-RSA-AES256-SHA256 | Y | Y | Y | |
| DHE-RSA-AES256-SHA | Y | Y | Y | |
| DHE-DSS-AES256-SHA | Y | Y | ||
| ECDHE-ECDSA-DES-CBC3-SHA | Y | Y | Y | |
| ECDHE-RSA-DES-CBC3-SHA | Y | Y | Y | |
| EDH-RSA-DES-CBC3-SHA | Y | Y | Y | |
| EDH-DSS-DES-CBC3-SHA | Y | |||
| AES128-GCM-SHA256 | Y | Y | Y | |
| AES256-GCM-SHA384 | Y | Y | Y | |
| AES128-SHA256 | Y | Y | Y | |
| AES256-SHA256 | Y | Y | Y | |
| AES128-SHA | Y | Y | Y | |
| AES256-SHA | Y | Y | Y | |
| DES-CBC3-SHA | Y | Y | Y | |
| DHE-DSS-AES256-SHA256 | Y | Y | ||
| DHE-RSA-CAMELLIA256-SHA | Y | Y | ||
| DHE-DSS-CAMELLIA256-SHA | Y | Y | ||
| CAMELLIA256-SHA | Y | Y | ||
| CAMELLIA128-SHA | Y | Y | ||
| DHE-RSA-CAMELLIA128-SHA | Y | Y | ||
| DHE-DSS-CAMELLIA128-SHA | Y | Y | ||
| DHE-RSA-SEED-SHA | Y | |||
| DHE-DSS-SEED-SHA | Y | |||
| SEED-SHA | Y | |||
| SRP-DSS-AES-256-CBC-SHA | Y | |||
| SRP-RSA-AES-256-CBC-SHA | Y | |||
| SRP-AES-256-CBC-SHA | Y | |||
| ECDH-RSA-AES256-GCM-SHA384 | Y | |||
| ECDH-ECDSA-AES256-GCM-SHA384 | Y | |||
| ECDH-RSA-AES256-SHA384 | Y | |||
| ECDH-ECDSA-AES256-SHA384 | Y | |||
| ECDH-RSA-AES256-SHA | Y | |||
| ECDH-ECDSA-AES256-SHA | Y | |||
| PSK-AES256-CBC-SHA | Y | |||
| SRP-DSS-3DES-EDE-CBC-SHA | Y | |||
| SRP-RSA-3DES-EDE-CBC-SHA | Y | |||
| SRP-3DES-EDE-CBC-SHA | Y | |||
| ECDH-RSA-DES-CBC3-SHA | Y | |||
| ECDH-ECDSA-DES-CBC3-SHA | Y | |||
| PSK-3DES-EDE-CBC-SHA | Y | |||
| SRP-RSA-AES-128-CBC-SHA | Y | |||
| SRP-DSS-AES-128-CBC-SHA | Y | |||
| SRP-AES-128-CBC-SHA | Y | |||
| ECDH-RSA-AES128-GCM-SHA256 | Y | |||
| ECDH-ECDSA-AES128-GCM-SHA256 | Y | |||
| ECDH-RSA-AES128-SHA256 | Y | |||
| ECDH-ECDSA-AES128-SHA256 | Y | |||
| ECDH-RSA-AES128-SHA | Y | |||
| ECDH-ECDSA-AES128-SHA | Y | |||
| PSK-AES128-CBC-SHA | Y |
