0

在1.5.1 中,当我尝试使用以下语法istio将特定密码套装添加到gateway'部分时:tls

      minProtocolVersion: TLSV1_3
      mode: SIMPLE
      cipherSuites: [TLS_AES_128_GCM_SHA256]

我在 istio-ingress pod 的日志中收到以下错误:

[Envoy (Epoch 0)] [2020-06-08 15:15:44.033][22][warning][config] [external/envoy/source/common/config/grpc_subscription_impl.cc:87]
gRPC config for type.googleapis.com/envoy.api.v2.Listener rejected: 
Error adding/updating listener(s) 0.0.0.0_443: Failed to initialize cipher suites TLS_AES_128_GCM_SHA256.
The following ciphers were rejected when tried individually: TLS_AES_128_GCM_SHA256

如果我cipherSuites从该部分中删除该行tls,则没有错误,并且相同的密码套装出现在有效密码套装列表中。

有什么建议吗?谢谢

4

1 回答 1

1

据我检查特使文档和 BoringSSL文档

TLS 1.3 密码不参与此机制,而是具有内置的优先顺序设置密码列表的函数不影响 TLS 1.3,查询密码列表的函数不包括 TLS 1.3 密码。

密码套件

如果指定,则 TLS 侦听器在协商 TLS 1.0-1.2 时将仅支持指定的密码列表(此设置在协商 TLS 1.3 时无效)。如果未指定,将使用默认列表。

在非 FIPS 版本中,默认密码列表为:

[ECDHE-ECDSA-AES128-GCM-SHA256|ECDHE-ECDSA-CHACHA20-POLY1305]
[ECDHE-RSA-AES128-GCM-SHA256|ECDHE-RSA-CHACHA20-POLY1305]
ECDHE-ECDSA-AES128-SHA
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-SHA
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA
ECDHE-RSA-AES256-SHA
AES256-GCM-SHA384
AES256-SHA

在使用 BoringSSL FIPS 的构建中,默认密码列表是:

ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-SHA
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA
ECDHE-RSA-AES256-SHA
AES256-GCM-SHA384
AES256-SHA

另外看看这个 github问题

于 2020-06-09T08:55:13.363 回答