.NET Core Cipher(套件)配置
如果没有项目上的苛刻要求，我断然也就无法在此方面展开研究和实践
 
本文具以.NET 5为例，只不过针对.NET Core 3或3.1通过工具扫描出的协议套件结果略有所差异，但不影响我们对安全套件的配置，我们使用OpenSSL生成自签名证书，后续我会发表文章讲解OpenSSL自签名证书等等
 
webBuilder.ConfigureKestrel(serverOptions =>
{
    serverOptions.Listen(IPAddress.Any, 8000, listenOptions =>
    {
        listenOptions.UseHttps("ssl.pfx", "123456", adapterOptions =>
        {
          adapterOptions.SslProtocols = SslProtocols.Tls12;
        });
    });
});
HTTPS结合TLS 协议1.0或1.1不安全，所以TLS协议需使用1.2+，这里我们如上述代码使用版本1.2
 
接下来我们将其部署在Linux上，然后安装nmap，通过nmap工具扫描(至于nmap是什么，可自行了解)
 
通过nmap扫描指定端口号并枚举其支持TLS 套件需要注意一点，我们可能搜罗出来大多数文章的命令结果一扫，压根没有结果，其实nmap只对指定端口扫描才有效(比如443等等)，比如使用如下命令无效果
 
nmap –script ssl-enum-ciphers localhost -p 8000
若是其他端口，可使用如下命令进行扫描
 
nmap –script +ssl-enum-ciphers localhost -p 8000
最终我们扫描出来的结果如下：
 
 
 
AES-CBC模式在中SSL或者TLS中存在一些已知的安全漏洞，如BEAST攻击、Lucky 13攻击等，虽然TLS1.1、TLS1.2未受到BEAST攻击的影响、Lucky 13(影响涉及到TLS1.1/1.2)攻击也在Openssl等知名加密算法库得到了修复，但这些漏洞均暴漏出CBC模式在SSL/TLS协议实现时容易引入安全漏洞，HTTP/2中也明确将CBC模式加密套件列为黑名单
 
上述是在.NET 5 TLS 1.2默认行为，但第三方规定禁止使用AES-CBC即使扫描出来的套件强度为A，并给定了其支持的安全套件。