安全策略

什么是安全策略

安全策略包括两个方面:

  1. TLS版本
  2. 加密套件

其中加密套件(Cipher suite)是TLS/SSL网络协议中的一个概念。目前,一个TLS加密套件中包含了:密钥交换算法、批量加密算法、消息认证码算法、伪随机函数。每一个被支持的加密套件都可以使用openssl ciphers指令检查其内容,例如:

# openssl ciphers -v ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AESGCM(128) Mac=AEAD

网易云SSL服务提供的安全策略在此基础上限定TLS版本,例如:sslv3, tlsv1, tlsv1.1, tlsv2

网易云提供的安全策略

截止到2017年12月,网易云提供了如下安全策略:

  • 2017-12-COMMON
  • 2017-12-HIGH
  • LEGACY-NLB
  • LEGACY-1

其中,名称为${日期}-COMMON的套件表示在该时间前,加密强度比较高,且适用范围比较广的套件。${日期}-HIGH的套件表示在该时间前,强度非常高,但是适用面较窄的套件。而LEGACY-开头的加密套件仅为了兼容而保留。

使用${日期}-命名,是因为加密套件随时可能因实现bug或算法本身的漏洞而变得不安全。这时我们会及时给出新的加密套件,并以新的日期对其命名,原有加密套件保留不作修改。

如何选择加密套件

在大部分情况下,您都可以选择${最新日期}-COMMON作为加密套件,例如2017-12-COMMON,这也是页面上默认选中的套件。若您的应用对安全性要求较高,且对客户端兼容性没有要求,则可以选择${最新日期}-HIGH,例如2017-12-HIGH

此外,曾经负载均衡实例上使用的cipher被定义为LEGACY-NLB,也可以供您选择。

若您的应用需要兼容较老的客户端,例如IE6、JAVA1.6等,则需要选择以LEGACY-${n}为名称的套件,例如LEGACY-1

加密套件详情

兼容性/TLS版本/加密套件2017-12-COMMON2017-12-HIGHLEGACY-NLBLEGACY-1
JAVA 1.6Y
JAVA 1.7YYY
JAVA 1.8 / 9YYYY
IE 6Y
FIREFOX / CHROME / SAFARIYYYY
----------
TLS v1.2YYYY
TLS v1.1YYY
TLS v1YYY
SSL v3Y
----------
ECDHE-ECDSA-AES128-GCM-SHA256YYYY
ECDHE-RSA-AES128-GCM-SHA256YYYY
ECDHE-ECDSA-AES256-GCM-SHA384YYYY
ECDHE-RSA-AES256-GCM-SHA384YYYY
DHE-RSA-AES128-GCM-SHA256YYY
DHE-DSS-AES128-GCM-SHA256YY
DHE-RSA-AES256-GCM-SHA384YYY
DHE-DSS-AES256-GCM-SHA384YY
ECDHE-ECDSA-AES128-SHA256YYYY
ECDHE-RSA-AES128-SHA256YYYY
ECDHE-ECDSA-AES128-SHAYYY
ECDHE-RSA-AES256-SHA384YYYY
ECDHE-RSA-AES128-SHAYYY
ECDHE-ECDSA-AES256-SHA384YYYY
ECDHE-ECDSA-AES256-SHAYYY
ECDHE-RSA-AES256-SHAYYY
DHE-RSA-AES128-SHA256YYY
DHE-DSS-AES128-SHA256YY
DHE-RSA-AES128-SHAYYY
DHE-DSS-AES128-SHAYY
DHE-RSA-AES256-SHA256YYY
DHE-RSA-AES256-SHAYYY
DHE-DSS-AES256-SHAYY
ECDHE-ECDSA-DES-CBC3-SHAYYY
ECDHE-RSA-DES-CBC3-SHAYYY
EDH-RSA-DES-CBC3-SHAYYY
EDH-DSS-DES-CBC3-SHAY
AES128-GCM-SHA256YYY
AES256-GCM-SHA384YYY
AES128-SHA256YYY
AES256-SHA256YYY
AES128-SHAYYY
AES256-SHAYYY
DES-CBC3-SHAYYY
DHE-DSS-AES256-SHA256YY
DHE-RSA-CAMELLIA256-SHAYY
DHE-DSS-CAMELLIA256-SHAYY
CAMELLIA256-SHAYY
CAMELLIA128-SHAYY
DHE-RSA-CAMELLIA128-SHAYY
DHE-DSS-CAMELLIA128-SHAYY
DHE-RSA-SEED-SHAY
DHE-DSS-SEED-SHAY
SEED-SHAY
SRP-DSS-AES-256-CBC-SHAY
SRP-RSA-AES-256-CBC-SHAY
SRP-AES-256-CBC-SHAY
ECDH-RSA-AES256-GCM-SHA384Y
ECDH-ECDSA-AES256-GCM-SHA384Y
ECDH-RSA-AES256-SHA384Y
ECDH-ECDSA-AES256-SHA384Y
ECDH-RSA-AES256-SHAY
ECDH-ECDSA-AES256-SHAY
PSK-AES256-CBC-SHAY
SRP-DSS-3DES-EDE-CBC-SHAY
SRP-RSA-3DES-EDE-CBC-SHAY
SRP-3DES-EDE-CBC-SHAY
ECDH-RSA-DES-CBC3-SHAY
ECDH-ECDSA-DES-CBC3-SHAY
PSK-3DES-EDE-CBC-SHAY
SRP-RSA-AES-128-CBC-SHAY
SRP-DSS-AES-128-CBC-SHAY
SRP-AES-128-CBC-SHAY
ECDH-RSA-AES128-GCM-SHA256Y
ECDH-ECDSA-AES128-GCM-SHA256Y
ECDH-RSA-AES128-SHA256Y
ECDH-ECDSA-AES128-SHA256Y
ECDH-RSA-AES128-SHAY
ECDH-ECDSA-AES128-SHAY
PSK-AES128-CBC-SHAY