LINUX.ORG.RU

tls chiper openvpn

 , tls chiper


1

1

ребят. подскажите какой tls chiper лучше использовать для openvpn. в нете что-то толкового ничего не нашел. вот доступные методы для 1.2

TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384
TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384
TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA384
TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA384
TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA
TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA
TLS-DHE-RSA-WITH-AES-256-GCM-SHA384
TLS-DHE-RSA-WITH-AES-256-CBC-SHA256
TLS-DHE-RSA-WITH-AES-256-CBC-SHA
TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA
TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256
TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA256
TLS-ECDHE-ECDSA-WITH-AES-128-CBC-SHA256
TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA
TLS-ECDHE-ECDSA-WITH-AES-128-CBC-SHA
TLS-DHE-RSA-WITH-AES-128-GCM-SHA256
TLS-DHE-RSA-WITH-AES-128-CBC-SHA256
TLS-DHE-RSA-WITH-AES-128-CBC-SHA
TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA

Ответ на: комментарий от Deleted

А да цели то забыл назвать. Максимальная скорость и безопасность. Ну у меня vps пока 20 mbit больше не выдает. По умолчанию вроде используется 1 по списку

mio_linux
() автор топика
Ответ на: комментарий от sanekmihailow

т.е это TLS-DHE-RSA-WITH-AES-256-CBC-SHA256 ? Если это, то TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384 более совершенное, т.к. свойство PFS не достигается на классический алгоритме Диффи-Хеллмана, т.е на этом DHE

mio_linux
() автор топика
Ответ на: комментарий от sanekmihailow

да и gcm вроде как надежней cbc. По крайней мере openvpn сам меняет cbc на gcm, если поддерживается сервером и клиентом

mio_linux
() автор топика

TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384

TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384

Если ты не знаешь что такое патенты и экспорт, то использование ECDSA на много предпочтительнее RSA.

anonymous
()
Ответ на: TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384 от anonymous

пока не знаю про это. Я пробовал что-то не подключается. tun запускается, но клиент не коннектится. вот что пишет

TLS error: The server has no TLS ciphersuites in common with the client. Your --tls-cipher setting might be too restrictive.
Tue May 21 18:19:55 2019 us=132176  OpenSSL: error:1408A0C1:SSL routines:ssl3_get_client_hello:no shared cipher
Tue May 21 18:19:55 2019 us=132192 TLS_ERROR: BIO read tls_read_plaintext error
Tue May 21 18:19:55 2019 us=132205  TLS Error: TLS object -> incoming plaintext read error
Tue May 21 18:19:55 2019 us=132218  TLS Error: TLS handshake failed

mio_linux
() автор топика
Ответ на: комментарий от anonymous

да мне просто интересно. получил недавно сертификат A+ от ssllabs для сайтов. Вот теперь очередь до openvpn дошла

mio_linux
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.