Наконец, вот окончательный «секретный соус»:
Пожалуйста, прочитайте ссылку для конкретных директив конфигурации.
Инструмент тестирования https://www.ssllabs.com/ssltest/index.html сообщает мне, что мой сервер предлагает / поддерживает:
SSL_RSA_WITH_DES_CBC_SHA (0x9) WEAK 56
SSL_DHE_RSA_WITH_DES_CBC_SHA (0x15) DH 1024 бита (p: 128, g: 128, Ys: 128) FS WEAK 56
RC4 Да НЕ НУЖНО
По крайней мере, эти два слабых шифра. Я хотел бы поддержать только сильные шифры. Я пытался указать
ssl.cipher-list = "HIGH:MEDIUM:!ADH"
Но это не помогло. Как мне сказать lighthttpd не использовать слабые шифры для SSL?
Если я могу также обратиться к «Прямой секретности (экспериментальной) нет НЕ ЖЕЛАТЕЛЬНОЙ» в то же время, отлично.
Наконец, вот окончательный «секретный соус»:
Пожалуйста, прочитайте ссылку для конкретных директив конфигурации.
Общий подход / руководство по созданию правильной конфигурации комплекта шифров вы можете посмотреть здесь: http://www.skytale.net/blog/archives/22-SSL-cipher-setting.html.
Однако автор, похоже, не обратил внимания на реализацию наборов шифров DHE; вам понадобятся эти DHE-шифры, чтобы разрешить Forward Secrecy (FS) для вашего SSL-соединения.
«Конфигурацию готового к использованию набора шифров», включая DHE, можно найти здесь. Кажется, что эта конфигурация также была протестирована для работы с несколькими настройками браузера и ОС: https://github.com/pfsense/pfsense/pull/683
PS: обратите внимание, что сообщение «Прямая секретность (экспериментальная) не желательна» от SSLlabs, похоже, появляется независимо от того, работает FS или нет с вашим соединением, поэтому в настоящее время не слишком беспокоитесь об этом сообщении.