tls chiper openvpn

openvpn, tls chiper

1

1

ребят. подскажите какой tls chiper лучше использовать для openvpn. в нете что-то толкового ничего не нашел. вот доступные методы для 1.2

TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384
TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384
TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA384
TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA384
TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA
TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA
TLS-DHE-RSA-WITH-AES-256-GCM-SHA384
TLS-DHE-RSA-WITH-AES-256-CBC-SHA256
TLS-DHE-RSA-WITH-AES-256-CBC-SHA
TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA
TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256
TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA256
TLS-ECDHE-ECDSA-WITH-AES-128-CBC-SHA256
TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA
TLS-ECDHE-ECDSA-WITH-AES-128-CBC-SHA
TLS-DHE-RSA-WITH-AES-128-GCM-SHA256
TLS-DHE-RSA-WITH-AES-128-CBC-SHA256
TLS-DHE-RSA-WITH-AES-128-CBC-SHA
TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA

Ссылка

←	Подскажите vps сервис в офшорах? )

MDS, Meltdown, Spectrev2 on Intel - дыры и последствия

→

А ты на какую скорость канала рассчитываешь ?

Deleted
(19.05.19 06:30:18 MSK)

Ответ на: комментарий от Deleted 19.05.19 06:30:18 MSK

А да цели то забыл назвать. Максимальная скорость и безопасность. Ну у меня vps пока 20 mbit больше не выдает. По умолчанию вроде используется 1 по списку

mio_linux
(19.05.19 08:39:36 MSK) автор топика

Ответ на: комментарий от mio_linux 19.05.19 08:39:36 MSK

изучив этот материал https://habr.com/ru/company/yandex/blog/258673/ пришел к выводу, что по умолчанию, т.е TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384 этот, самый подходящий в плане безопасности.

mio_linux
(19.05.19 17:04:36 MSK) автор топика

Ссылка

я всегда использую AES-256-CBC-SHA256, вполне устраивает

sanekmihailow
(20.05.19 10:24:52 MSK)

Ответ на: комментарий от sanekmihailow 20.05.19 10:24:52 MSK

т.е это TLS-DHE-RSA-WITH-AES-256-CBC-SHA256 ? Если это, то TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384 более совершенное, т.к. свойство PFS не достигается на классический алгоритме Диффи-Хеллмана, т.е на этом DHE

mio_linux
(20.05.19 15:39:06 MSK) автор топика

Ссылка

Ответ на: комментарий от sanekmihailow 20.05.19 10:24:52 MSK

да и gcm вроде как надежней cbc. По крайней мере openvpn сам меняет cbc на gcm, если поддерживается сервером и клиентом

mio_linux
(20.05.19 17:06:51 MSK) автор топика

Ссылка

TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384

Если ты не знаешь что такое патенты и экспорт, то использование ECDSA на много предпочтительнее RSA.

anonymous
(21.05.19 15:05:16 MSK)

Ответ на: TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384 от anonymous 21.05.19 15:05:16 MSK

пока не знаю про это. Я пробовал что-то не подключается. tun запускается, но клиент не коннектится. вот что пишет

TLS error: The server has no TLS ciphersuites in common with the client. Your --tls-cipher setting might be too restrictive.
Tue May 21 18:19:55 2019 us=132176  OpenSSL: error:1408A0C1:SSL routines:ssl3_get_client_hello:no shared cipher
Tue May 21 18:19:55 2019 us=132192 TLS_ERROR: BIO read tls_read_plaintext error
Tue May 21 18:19:55 2019 us=132205  TLS Error: TLS object -> incoming plaintext read error
Tue May 21 18:19:55 2019 us=132218  TLS Error: TLS handshake failed

mio_linux
(21.05.19 18:31:01 MSK) автор топика

Ссылка

Ответ на: TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384 от anonymous 21.05.19 15:05:16 MSK

понял. нужно другие ключи делать под эти кривые.

mio_linux
(21.05.19 21:41:26 MSK) автор топика

Ответ на: комментарий от mio_linux 21.05.19 21:41:26 MSK

От кого защищаетесь? aes-128 они уже взломали, судя по вашей настойчивости?

anonymous
(21.05.19 21:52:00 MSK)

Ответ на: комментарий от anonymous 21.05.19 21:52:00 MSK

да мне просто интересно. получил недавно сертификат A+ от ssllabs для сайтов. Вот теперь очередь до openvpn дошла

mio_linux
(21.05.19 22:00:49 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Подскажите vps сервис в офшорах? )

Security

MDS, Meltdown, Spectrev2 on Intel - дыры и последствия

→

TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384

Похожие темы