Здравствуйте, подскажите пожалуйста, есть настроенный кластер minio с поддержкой TLS, хочу изменить cipher suite, хочу использовать только 2 cipher suite: TLS_AES_256_GCM_SHA384 и TLS_AES_128_GCM_SHA256. Пробовал разные варианты (добавлял в конфиг /etc/default/minio):
tls:
enabled: on
cipher_suites:
- TLS_AES_256_GCM_SHA384
- TLS_AES_128_GCM_SHA256
tls:
enabled: on
certificate: /home/minio/.minio/certs/public.crt
key: /home/minio/.minio/certs/private.key
cipher_suites:
- TLS_AES_256_GCM_SHA384
- TLS_AES_128_GCM_SHA256
"tls": {
"enabled": true,
"cipherSuites": ["TLS_AES_256_GCM_SHA384", "TLS_AES_128_GCM_SHA256"]
}
Но в итоге testssl все равно показывает, что доступно больше chipher suite по порту 9000:
Negotiated cipher TLS_AES_128_GCM_SHA256, 253 bit ECDH (X25519)
Cipher order
TLSv1.2: ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-CHACHA20-POLY1305
Как все-таки можно оставить только необходимые криптопротоколы?
Ниже мой конфиг /etc/default/minio, в который я пробовал добавлять cipher suite
# Volume to be used for MinIO server.
MINIO_VOLUMES="http://s3node{1...4}:9000/s3/disk{1...4}"
# Use if you want to run MinIO on a custom port.
MINIO_OPTS="--address :9000 --console-address :9001"
# Root user for the server.
MINIO_ROOT_USER="admin"
# Root secret for the server.
MINIO_ROOT_PASSWORD="12345678"
MINIO_SERVER_URL="http://s3node1:9000"
