在istio 1.5.1中,当我尝试使用以下语法向gateway的tls部分添加特定的密码套件时:
minProtocolVersion: TLSV1_3
mode: SIMPLE
cipherSuites: [TLS_AES_128_GCM_SHA256]
我在女主角吊舱的日志中出现以下错误:
[Envoy (Epoch 0)] [2020-06-08 15:15:44.033][22][warning][config] [external/envoy/source/common/config/grpc_subscription_impl.cc:87]
gRPC config for type.googleapis.com/envoy.api.v2.Listener rejected:
Error adding/updating listener(s) 0.0.0.0_443: Failed to initialize cipher suites TLS_AES_128_GCM_SHA256.
The following ciphers were rejected when tried individually: TLS_AES_128_GCM_SHA256
如果我从cipherSuites部分中删除了tls行,则没有错误,并且相同的密码服将出现在有效的密码服列表中。
任何建议?谢谢
据我签入特使documentation和BoringSSL documentation的情况>>
TLS 1.3密码不参与此机制,而是具有一个 内置偏好顺序
。 设置密码列表的功能不影响TLS 1.3,并且用于查询密码列表的函数不包含TLS 1.3 密码。cipher_suites
如果指定,则TLS侦听器仅在协商TLS 1.0-1.2时才支持指定的密码列表(协商TLS 1.3时此设置无效)。如果未指定,将使用默认列表。
在非FIPS版本中,默认密码列表为:
[ECDHE-ECDSA-AES128-GCM-SHA256|ECDHE-ECDSA-CHACHA20-POLY1305] [ECDHE-RSA-AES128-GCM-SHA256|ECDHE-RSA-CHACHA20-POLY1305] ECDHE-ECDSA-AES128-SHA ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-SHA ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES256-SHA ECDHE-RSA-AES256-SHA AES256-GCM-SHA384 AES256-SHA
在使用BoringSSL FIPS的版本中,默认密码列表为:
ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-SHA ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-SHA ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES256-SHA ECDHE-RSA-AES256-SHA AES256-GCM-SHA384 AES256-SHA
另外看看这个github issue。