Tentando configurar o TLSCipherSuite openldap

1

Eu tenho um servidor openldap e estou tentando ajustar minhas configurações de TLSCipherSuite para ficarem tão seguras quanto possível.

Por favor, não critique minhas configurações de segurança reais. Por favor, apenas me ajude a entender o que está acontecendo.

Estou editando o arquivo /etc/openldap/slapd.conf e estou usando slaptest para converter esse arquivo no diretório de configuração /etc/openldap/slapd.d . Estou usando sslscan para listar as cifras disponíveis para uso.

Eu comecei com

TLSCipherSuite HIGH:MEDIUM:-SSLv2:+SSLv3

e sslscan me dizem

$ sslscan --no-failed hostname:636  | grep Accepted
Accepted  SSLv3  256 bits  DHE-RSA-AES256-SHA
Accepted  SSLv3  256 bits  DHE-RSA-CAMELLIA256-SHA
Accepted  SSLv3  256 bits  AES256-SHA
Accepted  SSLv3  256 bits  CAMELLIA256-SHA
[...]
Accepted  TLS12  112 bits  DES-CBC3-SHA
Accepted  TLS12  112 bits  ECDHE-RSA-RC4-SHA
Accepted  TLS12  112 bits  RC4-SHA
Accepted  TLS12  112 bits  RC4-MD5

$ sslscan --no-failed hostname:636  | grep Accepted  | wc -l
72

De lá, tirei MEDIUM

TLSCipherSuite HIGH:-SSLv2:+SSLv3

$ sslscan --no-failed hostname:636  | grep Accepted  | wc -l
57

Melhor. Então eu tentei remover o SHA1, e aqui é onde eu fico completamente confuso.

TLSCipherSuite HIGH:-SSLv2:+SSLv3:-SHA

$ sslscan --no-failed hostname:636  | grep Accepted  | wc -l
91

$ sslscan --no-failed hostname:636  | grep Accepted
[...]
Accepted  TLS12  112 bits  RC4-SHA
Accepted  TLS12  112 bits  RC4-MD5
Accepted  TLS12  56 bits   EDH-RSA-DES-CBC-SHA
Accepted  TLS12  56 bits   DES-CBC-SHA
Accepted  TLS12  0 bits    ECDHE-RSA-NULL-SHA
Accepted  TLS12  0 bits    NULL-SHA
Accepted  TLS12  0 bits    NULL-MD5

Então, a minha pergunta é ... o que aconteceu aqui, que tentei remover algumas cifras da minha lista aceita e, em vez disso, adicionei um bando? O que fiz de errado?

Novamente, não critique minhas configurações de segurança reais. Por favor, apenas me ajude a entender o que está acontecendo.

    
por hymie 17.04.2017 / 21:34

0 respostas

Tags