我已将 HAProxy 服务器配置为终止 TLS/SSL 并设置了我的密码。一切正常 - 但由于不支持安全协商,我从 SSL 实验室获得了 A-:https://ssllabs.com/ssltest/。来自 SSL 实验室的消息是:
不支持安全重新协商。等级降至A-。更多信息»
我希望我们的客户将 A 视为我们的等级。我扫描了 haproxy 文档,但找不到任何有关安全重新协商支持的信息。 haproxy不支持这个吗?
我将此作为我的全局 haproxy 配置:
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /usr/local/etc/haproxy/certs/
ssl-default-bind-ciphers ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS:!3DES:!MD5:!EXP:!PSK:!SRP
ssl-default-bind-options no-sslv3 no-tlsv10 no-tlsv11
前端:
frontend https
bind 0.0.0.0:443 ssl crt /usr/local/etc/haproxy/chain.pem ca-ignore-err all
mode http
maxconn 400
acl jbossun path_beg /path1 OR /path2
#insert stickiness here
use_backend prod-jboss if jbossun
default_backend prod-default
但我不知道还需要添加什么来使其进行安全的重新协商。有谁知道需要什么标志吗?或者我需要补充什么?
对此有任何解决方案吗?任何人都可以指出任何有用的资源吗?谢谢你。