openssl-ciphers
名字
openssl-ciphers – SSL cipher display and cipher list command
概述
openssl ciphers [-help] [-s] [-v] [-V] [-ssl3] [-tls1] [-tls1_1] [-tls1_2] [-tls1_3] [-s] [-psk] [-srp] [-stdname] [-convert name] [-ciphersuites val] [-provider name] [-provider-path path] [-propquery propq] [cipherlist]
此命令将文本 OpenSSL 密码列表转换为有序的 SSL 密码首选项列表(cipher suites密码套件)。它可用于确定适当的密码列表。
选项
- -help
Print a usage message.
-
-provider name
-
-provider-path path
-
-propquery propq
See “Provider Options” in openssl(1), provider(7), and property(7).
-
-s
仅列出受支持的加密算法:即与安全级别以及最低和最高协议版本一致的加密算法。这更接近应用程序实际支持的实际密码列表。
默认情况下不启用 PSK 和 SRP 算法:它们需要 -psk 或 -srp 选项才能启用它们。
它也不会更改受支持的签名算法的默认列表。
在服务器上,受支持的密码列表还可能根据配置的证书和 DH 参数排除其他密码。
如果不使用此选项,则将列出与cipherlist匹配的所有加密算法。 -
-psk
与-s选项一起使用时将会包括PSK(pre-shared keys)cipher suites
-
-srp
与-s选项一起使用时将会包括SRP cipher suites。这个选项已经废弃。
-
-v
详细输出: 对于每个cipher suite, 列出SSL_CIPHER_description(3)提供的详细信息.
-
-V
与-v选项类似,但是会额外包含cipher suite的16进制值
-
-tls1_3, -tls1_2, -tls1_1, -tls1, -ssl3
与-s选项一起使用, 列出指定协议可用的密码算法. 请注意,并非所有协议和标志都可用,这取决于 OpenSSL 的构建方式。
-
-stdname
每个密码套件前面都增加一列显示其标准名称,与-v选项一起使用。
-
-convert name
转换标准算示名字到OpenSSL名字。
-
-ciphersuites val
设置 TLSv1.3 密码套件列表。此列表将与已配置的任何 TLSv1.2 及以下密码套件相结合。此列表的格式是一个简单的冒号(“:”)分隔的 TLSv1.3 密码套件名称列表。默认情况下,此值为:
TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256 -
cipherlist
TLSv1.2 及以下版本的密码套件的算法列表,用于转换为加密首选项列表。此列表将与已配置的任何 TLSv1.3 密码套件相结合。如果未指定,则将使用默认密码列表。格式如下所述。
CIPHER LIST FORMAT
cipher list由一个或多个用冒号分隔的cipher strings组成。逗号或空格也是可接受的分隔符,但通常使用冒号。
cipher strings可以使用来自 IANA的 TLS 密码套件注册表 (https://www.iana.org/assignments/tls-parameters/tls-parameters.xhtml#tls-parameters-4) 的标准名称来引用算法。
实际的cipher strings可以采用几种不同的形式。
它可以由单个cipher suite(例如 RC4-SHA)组成。
它可以表示包含特定算法的cipher suites列表,也可以表示特定类型的cipher suites。例如,SHA1 表示所有使用摘要算法 SHA1 的cipher suites,SSLv3 表示所有 SSL v3 算法。
cipher suites列表可以由单个cipher string用+号组合而生。这当作逻辑与运算。例如,SHA1+DES 表示同时包含 SHA1 和 DES 算法的所有密码套件。
每个密码字符串前面都可以选择加上字符 !、- 或 +。
如果使用 !,则密码将从列表中永久删除。即使明确声明,删除的密码也不会再出现在列表中。
如果使用 -,那么密码将从列表中删除,但可以通过以后的选项再次添加部分或全部密码。
如果使用 +,则密码将移至列表末尾。此选项不会添加任何新密码,而只会移动匹配的现有密码。
如果这些字符均(!-+)不存在,则该字符串仅被解释为要附加到当前首选项列表的密码列表。如果列表已经包含任何指定的算法,则它们将被忽略:也就是说,它们不会移动到列表末尾。
@STRENGTH可以在任何位置使用,用于对于当前算法列表按密钥长度进行排序。
字符串 @SECLEVEL=n 可随时用于将安全级别设置为 n,该级别应为 0 到 5 之间的数字(含 0 和 5)。请参阅 SSL_CTX_set_security_level(3) 了解每个级别的含义。
cipher list可以以 DEFAULT 关键字作为前缀,这将启用下面定义的默认cipher list。与cipher strings不同,此前缀不能使用 + 字符与其他字符串组合。例如,DEFAULT+DES 无效。
默认列表的内容在编译时确定,通常对应于 ALL:!COMPLEMENTOFDEFAULT:!eNULL。
CIPHER STRINGS
以下是所有允许的算法字符串及其含义的列表。
- COMPLEMENTOFDEFAULT
ALL 中包含的密码,但默认情况下未启用。当前这包括所有 RC4 和匿名算法。请注意,此规则不涵盖 ALL 中未包含的 eNULL(如有必要,请使用 COMPLEMENTOFALL)。请注意,默认情况下,基于 RC4 的密码套件未内置到 OpenSSL 中(请参阅 Configure 中的 enable-weak-ssl-ciphers 选项)。
-
ALL
除 eNULL 密码之外的所有密码套件(如果需要,必须明确启用)。从 OpenSSL 1.0.0 开始,所有密码套件都默认按合理顺序排列。
-
COMPLEMENTOFALL
没有被ALL包含的密码在磁件,当前是eNULL
-
HIGH
“High”加密密码套件。目前这是指密钥长度大于 128 位的密码套件,以及一些密钥长度为 128 位的密码套件。
-
MEDIUM
“Medium” 加密密码套件, 一些128位密钥.
-LOW
"Low" 加密密码套件, 一些使用的64或56位加密算法,但不包括export(出口?)密码套件。从 OpenSSL 1.1.0 开始,所有这些密码套件都已被删除。
- eNULL, NULL
NULL密码是指不提供加密的密码。由于这些ciphers根本不提供加密,并且存在安全风险,因此无法通过 DEFAULT 或 ALL 密码字符串启用它们。在使用 kRSA 或 aECDSA 等较低级别原语构建密码列表时要小心,因为它们与 eNULL ciphers重叠。如有疑问,请在cipherlist中包含 !eNULL。
-
aNULL
不提供身份验证的密码套件。目前是匿名 DH 算法和匿名 ECDH 算法。这些密码套件容易受到“中间人”攻击,因此不鼓励使用它们。这些密码套件被排除在DEFAULT ciphers之外,但包含在ALL ciphers中。使用低级原语(如 kDHE 或 AES)构建cipherlist时要小心,因为它们与 aNULL ciphers重叠。如有疑问,请在cipherlist中包含 !aNULL。
-
kRSA, aRSA, RSA
Cipher suites using RSA key exchange or authentication. RSA 是 kRSA 的别名.
kRSA表示RSA key exchange,aRSA表示RSA authentication -
kDHr, kDHd, kDH
使用静态 DH key agreement的Cipher suites以及由使用 RSA 和 DSS 密钥的CA签名的 DH 证书. 所以这些Cipher suites已经在OpenSSL 1.1.0中移除.
-
kDHE, kEDH, DH
Cipher suites 使用 ephemeral DH key agreement, 包括在 anonymous cipher suites中.
-
DHE, EDH
带认证的ephemeral DH key agreement Cipher suites
-
ADH
Anonymous DH cipher suites, 注意,它不包括在 anonymous Elliptic Curve DH (ECDH) cipher suites.
-
kEECDH, kECDHE, ECDH
Cipher suites using ephemeral ECDH key agreement, 包括在 anonymous cipher suites.
-
ECDHE, EECDH
Cipher suites using authenticated ephemeral ECDH key agreement.
-
AECDH
Anonymous Elliptic Curve Diffie-Hellman cipher suites.
-
aDSS, DSS
Cipher suites using DSS authentication, i.e. the certificates carry DSS keys.
-
aDH
Cipher suites有效地使用 DH 身份验证,即证书携带 DH 密钥。所有这些密码套件已在 OpenSSL 1.1.0 中删除。
-
aECDSA, ECDSA
Cipher suites using ECDSA authentication, i.e. the certificates carry ECDSA keys.
-
TLSv1.2, TLSv1.0, SSLv3
列出至少在 TLS v1.2、TLS v1.0 或 SSL v3.0 中受支持的cipher suites。注意:没有特定于 TLS v1.1 的cipher suites。由于这只是最低版本,因此,例如,如果协商了 TLSv1.0,则 TLSv1.0 和 SSLv3.0 密码套件都可用。
Note: these cipher strings do not change the negotiated version of SSL or TLS, they only affect the list of available cipher suites.
注意:cipher strings不会影响协商的SSL或TLS版本,它们仅影响可用的cipher suites列表。 -
AES128, AES256, AES
cipher suites using 128 bit AES, 256 bit AES or either 128 or 256 bit AES.
-
AESGCM
AES in Galois Counter Mode (GCM): these cipher suites are only supported in TLS v1.2.
-
AESCCM, AESCCM8
AES in Cipher Block Chaining – Message Authentication Mode (CCM): 这些cipher suites只有TLS v1.2支持. AESCCM references CCM cipher suites using both 16 and 8 octet Integrity Check Value (ICV) while AESCCM8 only references 8 octet ICV.
-
ARIA128, ARIA256, ARIA
Cipher suites using 128 bit ARIA, 256 bit ARIA or either 128 or 256 bit ARIA.
-
CAMELLIA128, CAMELLIA256, CAMELLIA
Cipher suites using 128 bit CAMELLIA, 256 bit CAMELLIA or either 128 or 256 bit CAMELLIA.
-
CHACHA20
Cipher suites using ChaCha20.
3DES
-
Cipher suites using triple DES.
DES
-
Cipher suites using DES (not triple DES). All these cipher suites have been removed in OpenSSL 1.1.0.
RC4
-
Cipher suites using RC4.
RC2
-
Cipher suites using RC2.
IDEA
-
Cipher suites using IDEA.
SEED
-
Cipher suites using SEED.
MD5
-
Cipher suites using MD5.
SHA1, SHA
-
Cipher suites using SHA1.
-
SHA256, SHA384
Cipher suites using SHA256 or SHA384.
-
aGOST
Cipher suites using GOST R 34.10 (either 2001 or 94) for authentication (needs an engine supporting GOST algorithms).
-
aGOST01
Cipher suites using GOST R 34.10-2001 authentication.
-
kGOST
Cipher suites, using VKO 34.10 key exchange, specified in the RFC 4357.
-
GOST94
Cipher suites, using HMAC based on GOST R 34.11-94.
-
GOST89MAC
Cipher suites using GOST 28147-89 MAC instead of HMAC.
-
PSK
All cipher suites using pre-shared keys (PSK).
-
kPSK, kECDHEPSK, kDHEPSK, kRSAPSK
Cipher suites using PSK key exchange, ECDHE_PSK, DHE_PSK or RSA_PSK.
-
aPSK
Cipher suites using PSK authentication (currently all PSK modes apart from RSA_PSK).
-
SUITEB128, SUITEB128ONLY, SUITEB192
启用suite B操作模式,分别使用 128(允许对等方使用 192 位模式)、128 位(不允许对等方使用 192 位)或 192 位安全级别。如果使用这些cipherstrings,它们应该首先出现在密码列表中,并且它们之后的任何内容都将被忽略。设置套件 B 模式会产生符合 RFC6460 要求的其他后果。特别是,支持的签名算法减少到仅支持 ECDSA 和 SHA256 或 SHA384,只能使用椭圆曲线 P-256 和 P-384,并且只允许使用两个符合suite B的密码套件(ECDHE-ECDSA-AES128-GCM-SHA256 和 ECDHE-ECDSA-AES256-GCM-SHA384)。由此可见SUITEB比HIGH安全性还要高
-
CBC
所有使用Cipher Block Chaining (CBC) 模式加密算法的密码套件。这些密码套件仅在 TLS v1.2 及更早版本中受支持。目前它是以下密码字符串的别名:SSL_DES、SSL_3DES、SSL_RC2、SSL_IDEA、SSL_AES128、SSL_AES256、SSL_CAMELLIA128、SSL_CAMELLIA256、SSL_SEED。
CIPHER SUITE NAMES
以下列表提供了相关规范中的标准 SSL 或 TLS 密码套件名称及其 OpenSSL 等效名称。您可以在密码列表中使用标准名称或 OpenSSL 名称,也可以两者混合使用。
需要注意的是,一些密码套件名称不包括所使用的身份验证,例如 DES-CBC3-SHA。在这些情况下,使用 RSA 身份验证。
- SSL v3.0 cipher suites
SSL_RSA_WITH_NULL_MD5 NULL-MD5 SSL_RSA_WITH_NULL_SHA NULL-SHA SSL_RSA_WITH_RC4_128_MD5 RC4-MD5 SSL_RSA_WITH_RC4_128_SHA RC4-SHA SSL_RSA_WITH_IDEA_CBC_SHA IDEA-CBC-SHA SSL_RSA_WITH_3DES_EDE_CBC_SHA DES-CBC3-SHA SSL_DH_DSS_WITH_3DES_EDE_CBC_SHA DH-DSS-DES-CBC3-SHA SSL_DH_RSA_WITH_3DES_EDE_CBC_SHA DH-RSA-DES-CBC3-SHA SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA DHE-DSS-DES-CBC3-SHA SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA DHE-RSA-DES-CBC3-SHA SSL_DH_anon_WITH_RC4_128_MD5 ADH-RC4-MD5 SSL_DH_anon_WITH_3DES_EDE_CBC_SHA ADH-DES-CBC3-SHA SSL_FORTEZZA_KEA_WITH_NULL_SHA Not implemented. SSL_FORTEZZA_KEA_WITH_FORTEZZA_CBC_SHA Not implemented. SSL_FORTEZZA_KEA_WITH_RC4_128_SHA Not implemented. - TLS v1.0 cipher suites
TLS_RSA_WITH_NULL_MD5 NULL-MD5 TLS_RSA_WITH_NULL_SHA NULL-SHA TLS_RSA_WITH_RC4_128_MD5 RC4-MD5 TLS_RSA_WITH_RC4_128_SHA RC4-SHA TLS_RSA_WITH_IDEA_CBC_SHA IDEA-CBC-SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA DES-CBC3-SHA TLS_DH_DSS_WITH_3DES_EDE_CBC_SHA Not implemented. TLS_DH_RSA_WITH_3DES_EDE_CBC_SHA Not implemented. TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA DHE-DSS-DES-CBC3-SHA TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA DHE-RSA-DES-CBC3-SHA TLS_DH_anon_WITH_RC4_128_MD5 ADH-RC4-MD5 TLS_DH_anon_WITH_3DES_EDE_CBC_SHA ADH-DES-CBC3-SHA - AES cipher suites from RFC3268, extending TLS v1.0
TLS_RSA_WITH_AES_128_CBC_SHA AES128-SHA TLS_RSA_WITH_AES_256_CBC_SHA AES256-SHA TLS_DH_DSS_WITH_AES_128_CBC_SHA DH-DSS-AES128-SHA TLS_DH_DSS_WITH_AES_256_CBC_SHA DH-DSS-AES256-SHA TLS_DH_RSA_WITH_AES_128_CBC_SHA DH-RSA-AES128-SHA TLS_DH_RSA_WITH_AES_256_CBC_SHA DH-RSA-AES256-SHA TLS_DHE_DSS_WITH_AES_128_CBC_SHA DHE-DSS-AES128-SHA TLS_DHE_DSS_WITH_AES_256_CBC_SHA DHE-DSS-AES256-SHA TLS_DHE_RSA_WITH_AES_128_CBC_SHA DHE-RSA-AES128-SHA TLS_DHE_RSA_WITH_AES_256_CBC_SHA DHE-RSA-AES256-SHA TLS_DH_anon_WITH_AES_128_CBC_SHA ADH-AES128-SHA TLS_DH_anon_WITH_AES_256_CBC_SHA ADH-AES256-SHA - Camellia cipher suites from RFC4132, extending TLS v1.0
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA CAMELLIA128-SHA TLS_RSA_WITH_CAMELLIA_256_CBC_SHA CAMELLIA256-SHA TLS_DH_DSS_WITH_CAMELLIA_128_CBC_SHA DH-DSS-CAMELLIA128-SHA TLS_DH_DSS_WITH_CAMELLIA_256_CBC_SHA DH-DSS-CAMELLIA256-SHA TLS_DH_RSA_WITH_CAMELLIA_128_CBC_SHA DH-RSA-CAMELLIA128-SHA TLS_DH_RSA_WITH_CAMELLIA_256_CBC_SHA DH-RSA-CAMELLIA256-SHA TLS_DHE_DSS_WITH_CAMELLIA_128_CBC_SHA DHE-DSS-CAMELLIA128-SHA TLS_DHE_DSS_WITH_CAMELLIA_256_CBC_SHA DHE-DSS-CAMELLIA256-SHA TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA DHE-RSA-CAMELLIA128-SHA TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA DHE-RSA-CAMELLIA256-SHA TLS_DH_anon_WITH_CAMELLIA_128_CBC_SHA ADH-CAMELLIA128-SHA TLS_DH_anon_WITH_CAMELLIA_256_CBC_SHA ADH-CAMELLIA256-SHA - SEED cipher suites from RFC4162, extending TLS v1.0
TLS_RSA_WITH_SEED_CBC_SHA SEED-SHA TLS_DH_DSS_WITH_SEED_CBC_SHA DH-DSS-SEED-SHA TLS_DH_RSA_WITH_SEED_CBC_SHA DH-RSA-SEED-SHA TLS_DHE_DSS_WITH_SEED_CBC_SHA DHE-DSS-SEED-SHA TLS_DHE_RSA_WITH_SEED_CBC_SHA DHE-RSA-SEED-SHA TLS_DH_anon_WITH_SEED_CBC_SHA ADH-SEED-SHA - GOST cipher suites from draft-chudov-cryptopro-cptls, extending TLS v1.0
注意:这些密码需要一个包含 GOST 加密算法的引擎,例如 gost 引擎,它不是 OpenSSL 发行版的一部分。
TLS_GOSTR341094_WITH_28147_CNT_IMIT GOST94-GOST89-GOST89 TLS_GOSTR341001_WITH_28147_CNT_IMIT GOST2001-GOST89-GOST89 TLS_GOSTR341094_WITH_NULL_GOSTR3411 GOST94-NULL-GOST94 TLS_GOSTR341001_WITH_NULL_GOSTR3411 GOST2001-NULL-GOST94 - GOST cipher suites, extending TLS v1.2
注意:这些密码需要一个包含 GOST 加密算法的引擎,例如 gost 引擎,它不是 OpenSSL 发行版的一部分。
TLS_GOSTR341112_256_WITH_28147_CNT_IMIT GOST2012-GOST8912-GOST8912 TLS_GOSTR341112_256_WITH_NULL_GOSTR3411 GOST2012-NULL-GOST12Note: GOST2012-GOST8912-GOST8912 is an alias for two ciphers ID old LEGACY-GOST2012-GOST8912-GOST8912 and new IANA-GOST2012-GOST8912-GOST8912
-
Additional Export 1024 and other cipher suites
Note: these ciphers can also be used in SSL v3.
TLS_DHE_DSS_WITH_RC4_128_SHA DHE-DSS-RC4-SHA - Elliptic curve cipher suites
TLS_ECDHE_RSA_WITH_NULL_SHA ECDHE-RSA-NULL-SHA TLS_ECDHE_RSA_WITH_RC4_128_SHA ECDHE-RSA-RC4-SHA TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA ECDHE-RSA-DES-CBC3-SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA ECDHE-RSA-AES128-SHA TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDHE-RSA-AES256-SHA TLS_ECDHE_ECDSA_WITH_NULL_SHA ECDHE-ECDSA-NULL-SHA TLS_ECDHE_ECDSA_WITH_RC4_128_SHA ECDHE-ECDSA-RC4-SHA TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA ECDHE-ECDSA-DES-CBC3-SHA TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA ECDHE-ECDSA-AES128-SHA TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA ECDHE-ECDSA-AES256-SHA TLS_ECDH_anon_WITH_NULL_SHA AECDH-NULL-SHA TLS_ECDH_anon_WITH_RC4_128_SHA AECDH-RC4-SHA TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA AECDH-DES-CBC3-SHA TLS_ECDH_anon_WITH_AES_128_CBC_SHA AECDH-AES128-SHA TLS_ECDH_anon_WITH_AES_256_CBC_SHA AECDH-AES256-SHA - TLS v1.2 cipher suites
TLS_RSA_WITH_NULL_SHA256 NULL-SHA256 TLS_RSA_WITH_AES_128_CBC_SHA256 AES128-SHA256 TLS_RSA_WITH_AES_256_CBC_SHA256 AES256-SHA256 TLS_RSA_WITH_AES_128_GCM_SHA256 AES128-GCM-SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 AES256-GCM-SHA384 TLS_DH_RSA_WITH_AES_128_CBC_SHA256 DH-RSA-AES128-SHA256 TLS_DH_RSA_WITH_AES_256_CBC_SHA256 DH-RSA-AES256-SHA256 TLS_DH_RSA_WITH_AES_128_GCM_SHA256 DH-RSA-AES128-GCM-SHA256 TLS_DH_RSA_WITH_AES_256_GCM_SHA384 DH-RSA-AES256-GCM-SHA384 TLS_DH_DSS_WITH_AES_128_CBC_SHA256 DH-DSS-AES128-SHA256 TLS_DH_DSS_WITH_AES_256_CBC_SHA256 DH-DSS-AES256-SHA256 TLS_DH_DSS_WITH_AES_128_GCM_SHA256 DH-DSS-AES128-GCM-SHA256 TLS_DH_DSS_WITH_AES_256_GCM_SHA384 DH-DSS-AES256-GCM-SHA384 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 DHE-RSA-AES128-SHA256 TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 DHE-RSA-AES256-SHA256 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 DHE-RSA-AES128-GCM-SHA256 TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 DHE-RSA-AES256-GCM-SHA384 TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 DHE-DSS-AES128-SHA256 TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 DHE-DSS-AES256-SHA256 TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 DHE-DSS-AES128-GCM-SHA256 TLS_DHE_DSS_WITH_AES_256_GCM_SHA384 DHE-DSS-AES256-GCM-SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDHE-RSA-AES128-SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDHE-RSA-AES256-SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDHE-RSA-AES256-GCM-SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 ECDHE-ECDSA-AES128-SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 ECDHE-ECDSA-AES256-SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 ECDHE-ECDSA-AES128-GCM-SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 ECDHE-ECDSA-AES256-GCM-SHA384 TLS_DH_anon_WITH_AES_128_CBC_SHA256 ADH-AES128-SHA256 TLS_DH_anon_WITH_AES_256_CBC_SHA256 ADH-AES256-SHA256 TLS_DH_anon_WITH_AES_128_GCM_SHA256 ADH-AES128-GCM-SHA256 TLS_DH_anon_WITH_AES_256_GCM_SHA384 ADH-AES256-GCM-SHA384 RSA_WITH_AES_128_CCM AES128-CCM RSA_WITH_AES_256_CCM AES256-CCM DHE_RSA_WITH_AES_128_CCM DHE-RSA-AES128-CCM DHE_RSA_WITH_AES_256_CCM DHE-RSA-AES256-CCM RSA_WITH_AES_128_CCM_8 AES128-CCM8 RSA_WITH_AES_256_CCM_8 AES256-CCM8 DHE_RSA_WITH_AES_128_CCM_8 DHE-RSA-AES128-CCM8 DHE_RSA_WITH_AES_256_CCM_8 DHE-RSA-AES256-CCM8 ECDHE_ECDSA_WITH_AES_128_CCM ECDHE-ECDSA-AES128-CCM ECDHE_ECDSA_WITH_AES_256_CCM ECDHE-ECDSA-AES256-CCM ECDHE_ECDSA_WITH_AES_128_CCM_8 ECDHE-ECDSA-AES128-CCM8 ECDHE_ECDSA_WITH_AES_256_CCM_8 ECDHE-ECDSA-AES256-CCM8 - ARIA cipher suites from RFC6209, extending TLS v1.2
Note: the CBC modes mentioned in this RFC are not supported.
TLS_RSA_WITH_ARIA_128_GCM_SHA256 ARIA128-GCM-SHA256 TLS_RSA_WITH_ARIA_256_GCM_SHA384 ARIA256-GCM-SHA384 TLS_DHE_RSA_WITH_ARIA_128_GCM_SHA256 DHE-RSA-ARIA128-GCM-SHA256 TLS_DHE_RSA_WITH_ARIA_256_GCM_SHA384 DHE-RSA-ARIA256-GCM-SHA384 TLS_DHE_DSS_WITH_ARIA_128_GCM_SHA256 DHE-DSS-ARIA128-GCM-SHA256 TLS_DHE_DSS_WITH_ARIA_256_GCM_SHA384 DHE-DSS-ARIA256-GCM-SHA384 TLS_ECDHE_ECDSA_WITH_ARIA_128_GCM_SHA256 ECDHE-ECDSA-ARIA128-GCM-SHA256 TLS_ECDHE_ECDSA_WITH_ARIA_256_GCM_SHA384 ECDHE-ECDSA-ARIA256-GCM-SHA384 TLS_ECDHE_RSA_WITH_ARIA_128_GCM_SHA256 ECDHE-ARIA128-GCM-SHA256 TLS_ECDHE_RSA_WITH_ARIA_256_GCM_SHA384 ECDHE-ARIA256-GCM-SHA384 TLS_PSK_WITH_ARIA_128_GCM_SHA256 PSK-ARIA128-GCM-SHA256 TLS_PSK_WITH_ARIA_256_GCM_SHA384 PSK-ARIA256-GCM-SHA384 TLS_DHE_PSK_WITH_ARIA_128_GCM_SHA256 DHE-PSK-ARIA128-GCM-SHA256 TLS_DHE_PSK_WITH_ARIA_256_GCM_SHA384 DHE-PSK-ARIA256-GCM-SHA384 TLS_RSA_PSK_WITH_ARIA_128_GCM_SHA256 RSA-PSK-ARIA128-GCM-SHA256 TLS_RSA_PSK_WITH_ARIA_256_GCM_SHA384 RSA-PSK-ARIA256-GCM-SHA384 - Camellia HMAC-Based cipher suites from RFC6367, extending TLS v1.2
TLS_ECDHE_ECDSA_WITH_CAMELLIA_128_CBC_SHA256 ECDHE-ECDSA-CAMELLIA128-SHA256 TLS_ECDHE_ECDSA_WITH_CAMELLIA_256_CBC_SHA384 ECDHE-ECDSA-CAMELLIA256-SHA384 TLS_ECDHE_RSA_WITH_CAMELLIA_128_CBC_SHA256 ECDHE-RSA-CAMELLIA128-SHA256 TLS_ECDHE_RSA_WITH_CAMELLIA_256_CBC_SHA384 ECDHE-RSA-CAMELLIA256-SHA384 - Pre-shared keying (PSK) cipher suites
PSK_WITH_NULL_SHA PSK-NULL-SHA DHE_PSK_WITH_NULL_SHA DHE-PSK-NULL-SHA RSA_PSK_WITH_NULL_SHA RSA-PSK-NULL-SHA PSK_WITH_RC4_128_SHA PSK-RC4-SHA PSK_WITH_3DES_EDE_CBC_SHA PSK-3DES-EDE-CBC-SHA PSK_WITH_AES_128_CBC_SHA PSK-AES128-CBC-SHA PSK_WITH_AES_256_CBC_SHA PSK-AES256-CBC-SHA DHE_PSK_WITH_RC4_128_SHA DHE-PSK-RC4-SHA DHE_PSK_WITH_3DES_EDE_CBC_SHA DHE-PSK-3DES-EDE-CBC-SHA DHE_PSK_WITH_AES_128_CBC_SHA DHE-PSK-AES128-CBC-SHA DHE_PSK_WITH_AES_256_CBC_SHA DHE-PSK-AES256-CBC-SHA RSA_PSK_WITH_RC4_128_SHA RSA-PSK-RC4-SHA RSA_PSK_WITH_3DES_EDE_CBC_SHA RSA-PSK-3DES-EDE-CBC-SHA RSA_PSK_WITH_AES_128_CBC_SHA RSA-PSK-AES128-CBC-SHA RSA_PSK_WITH_AES_256_CBC_SHA RSA-PSK-AES256-CBC-SHA PSK_WITH_AES_128_GCM_SHA256 PSK-AES128-GCM-SHA256 PSK_WITH_AES_256_GCM_SHA384 PSK-AES256-GCM-SHA384 DHE_PSK_WITH_AES_128_GCM_SHA256 DHE-PSK-AES128-GCM-SHA256 DHE_PSK_WITH_AES_256_GCM_SHA384 DHE-PSK-AES256-GCM-SHA384 RSA_PSK_WITH_AES_128_GCM_SHA256 RSA-PSK-AES128-GCM-SHA256 RSA_PSK_WITH_AES_256_GCM_SHA384 RSA-PSK-AES256-GCM-SHA384 PSK_WITH_AES_128_CBC_SHA256 PSK-AES128-CBC-SHA256 PSK_WITH_AES_256_CBC_SHA384 PSK-AES256-CBC-SHA384 PSK_WITH_NULL_SHA256 PSK-NULL-SHA256 PSK_WITH_NULL_SHA384 PSK-NULL-SHA384 DHE_PSK_WITH_AES_128_CBC_SHA256 DHE-PSK-AES128-CBC-SHA256 DHE_PSK_WITH_AES_256_CBC_SHA384 DHE-PSK-AES256-CBC-SHA384 DHE_PSK_WITH_NULL_SHA256 DHE-PSK-NULL-SHA256 DHE_PSK_WITH_NULL_SHA384 DHE-PSK-NULL-SHA384 RSA_PSK_WITH_AES_128_CBC_SHA256 RSA-PSK-AES128-CBC-SHA256 RSA_PSK_WITH_AES_256_CBC_SHA384 RSA-PSK-AES256-CBC-SHA384 RSA_PSK_WITH_NULL_SHA256 RSA-PSK-NULL-SHA256 RSA_PSK_WITH_NULL_SHA384 RSA-PSK-NULL-SHA384 PSK_WITH_AES_128_GCM_SHA256 PSK-AES128-GCM-SHA256 PSK_WITH_AES_256_GCM_SHA384 PSK-AES256-GCM-SHA384 ECDHE_PSK_WITH_RC4_128_SHA ECDHE-PSK-RC4-SHA ECDHE_PSK_WITH_3DES_EDE_CBC_SHA ECDHE-PSK-3DES-EDE-CBC-SHA ECDHE_PSK_WITH_AES_128_CBC_SHA ECDHE-PSK-AES128-CBC-SHA ECDHE_PSK_WITH_AES_256_CBC_SHA ECDHE-PSK-AES256-CBC-SHA ECDHE_PSK_WITH_AES_128_CBC_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE_PSK_WITH_AES_256_CBC_SHA384 ECDHE-PSK-AES256-CBC-SHA384 ECDHE_PSK_WITH_NULL_SHA ECDHE-PSK-NULL-SHA ECDHE_PSK_WITH_NULL_SHA256 ECDHE-PSK-NULL-SHA256 ECDHE_PSK_WITH_NULL_SHA384 ECDHE-PSK-NULL-SHA384 PSK_WITH_CAMELLIA_128_CBC_SHA256 PSK-CAMELLIA128-SHA256 PSK_WITH_CAMELLIA_256_CBC_SHA384 PSK-CAMELLIA256-SHA384 DHE_PSK_WITH_CAMELLIA_128_CBC_SHA256 DHE-PSK-CAMELLIA128-SHA256 DHE_PSK_WITH_CAMELLIA_256_CBC_SHA384 DHE-PSK-CAMELLIA256-SHA384 RSA_PSK_WITH_CAMELLIA_128_CBC_SHA256 RSA-PSK-CAMELLIA128-SHA256 RSA_PSK_WITH_CAMELLIA_256_CBC_SHA384 RSA-PSK-CAMELLIA256-SHA384 ECDHE_PSK_WITH_CAMELLIA_128_CBC_SHA256 ECDHE-PSK-CAMELLIA128-SHA256 ECDHE_PSK_WITH_CAMELLIA_256_CBC_SHA384 ECDHE-PSK-CAMELLIA256-SHA384 PSK_WITH_AES_128_CCM PSK-AES128-CCM PSK_WITH_AES_256_CCM PSK-AES256-CCM DHE_PSK_WITH_AES_128_CCM DHE-PSK-AES128-CCM DHE_PSK_WITH_AES_256_CCM DHE-PSK-AES256-CCM PSK_WITH_AES_128_CCM_8 PSK-AES128-CCM8 PSK_WITH_AES_256_CCM_8 PSK-AES256-CCM8 DHE_PSK_WITH_AES_128_CCM_8 DHE-PSK-AES128-CCM8 DHE_PSK_WITH_AES_256_CCM_8 DHE-PSK-AES256-CCM8 - ChaCha20-Poly1305 cipher suites, extending TLS v1.2
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 ECDHE-RSA-CHACHA20-POLY1305 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 ECDHE-ECDSA-CHACHA20-POLY1305 TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256 DHE-RSA-CHACHA20-POLY1305 TLS_PSK_WITH_CHACHA20_POLY1305_SHA256 PSK-CHACHA20-POLY1305 TLS_ECDHE_PSK_WITH_CHACHA20_POLY1305_SHA256 ECDHE-PSK-CHACHA20-POLY1305 TLS_DHE_PSK_WITH_CHACHA20_POLY1305_SHA256 DHE-PSK-CHACHA20-POLY1305 TLS_RSA_PSK_WITH_CHACHA20_POLY1305_SHA256 RSA-PSK-CHACHA20-POLY1305 - TLS v1.3 cipher suites
TLS_AES_128_GCM_SHA256 TLS_AES_128_GCM_SHA256 TLS_AES_256_GCM_SHA384 TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_CCM_SHA256 TLS_AES_128_CCM_SHA256 TLS_AES_128_CCM_8_SHA256 TLS_AES_128_CCM_8_SHA256 - TLS v1.3 integrity-only cipher suites according to RFC 9150
TLS_SHA256_SHA256 TLS_SHA256_SHA256 TLS_SHA384_SHA384 TLS_SHA384_SHA384注意:这些密码完全基于 HMAC,不提供任何机密性,因此默认情况下处于禁用状态。这些密码仅在安全级别 0 下可用。
-
Older names used by OpenSSL
The following names are accepted by older releases:
SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA EDH-RSA-DES-CBC3-SHA (DHE-RSA-DES-CBC3-SHA) SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA EDH-DSS-DES-CBC3-SHA (DHE-DSS-DES-CBC3-SHA)
NOTES
OpenSSL 的某些编译版本可能不包含此处列出的所有密码,因为某些密码在编译时被排除。
Views: 1