ssl - 哪些 TLS/SSL 密码套件被认为是弱/强？

算法和长度都需要考虑。某一时刻的强弱会随着时间的推移而改变，这也取决于所使用的软件，以及您需要支持的客户类型。

请查看https://security.stackexchange.com/questions/179114/what-are-the-toughest-ssh-daemon-settings-in-terms-of-encryption-handshake-or/179117#179117我在哪里提供以下资源：

• https://wiki.mozilla.org/Security/Guidelines/OpenSSH
• https://stribika.github.io/2015/01/04/secure-secure-shell.html尽管名称中有日期，但它会保持最新并解释选择。
• https://weakdh.org/sysadmin.html

因此，例如，如今 AES-GCM 在 TLS 1.2 中受到青睐

即将成为 RFC 的 TLS 1.3 做了很多工作来改进允许的算法列表：支持的对称算法列表已被删除所有被认为是遗留的算法。剩下的都使用带有关联数据的认证加密 (AEAD) 算法。

新的默认（强制实施）算法是：

在没有另外指定的应用程序配置文件标准的情况下，符合 TLS 的应用程序必须实现 TLS_AES_128_GCM_SHA256 [GCM] 密码套件，并且应该实现 TLS_AES_256_GCM_SHA384 [GCM] 和 TLS_CHACHA20_POLY1305_SHA256 [RFC7539] 密码套件。（见附录 B.4）

符合 TLS 的应用程序必须支持带有 rsa_pkcs1_sha256（用于证书）、rsa_pss_rsae_sha256（用于 CertificateVerify 和证书）和 ecdsa_secp256r1_sha256 的数字签名。符合 TLS 的应用程序必须支持与 secp256r1 (NIST P-256) 的密钥交换，并且应该支持与 X25519 [RFC7748] 的密钥交换。