Eu tenho um servidor openldap e estou tentando ajustar minhas configurações de TLSCipherSuite para ficarem tão seguras quanto possível.
Por favor, não critique minhas configurações de segurança reais. Por favor, apenas me ajude a entender o que está acontecendo.
Estou editando o arquivo /etc/openldap/slapd.conf e estou usando slaptest para converter esse arquivo no diretório de configuração /etc/openldap/slapd.d . Estou usando sslscan para listar as cifras disponíveis para uso.
Eu comecei com
TLSCipherSuite HIGH:MEDIUM:-SSLv2:+SSLv3
e sslscan me dizem
$ sslscan --no-failed hostname:636 | grep Accepted
Accepted SSLv3 256 bits DHE-RSA-AES256-SHA
Accepted SSLv3 256 bits DHE-RSA-CAMELLIA256-SHA
Accepted SSLv3 256 bits AES256-SHA
Accepted SSLv3 256 bits CAMELLIA256-SHA
[...]
Accepted TLS12 112 bits DES-CBC3-SHA
Accepted TLS12 112 bits ECDHE-RSA-RC4-SHA
Accepted TLS12 112 bits RC4-SHA
Accepted TLS12 112 bits RC4-MD5
$ sslscan --no-failed hostname:636 | grep Accepted | wc -l
72
De lá, tirei MEDIUM
TLSCipherSuite HIGH:-SSLv2:+SSLv3
$ sslscan --no-failed hostname:636 | grep Accepted | wc -l
57
Melhor. Então eu tentei remover o SHA1, e aqui é onde eu fico completamente confuso.
TLSCipherSuite HIGH:-SSLv2:+SSLv3:-SHA
$ sslscan --no-failed hostname:636 | grep Accepted | wc -l
91
$ sslscan --no-failed hostname:636 | grep Accepted
[...]
Accepted TLS12 112 bits RC4-SHA
Accepted TLS12 112 bits RC4-MD5
Accepted TLS12 56 bits EDH-RSA-DES-CBC-SHA
Accepted TLS12 56 bits DES-CBC-SHA
Accepted TLS12 0 bits ECDHE-RSA-NULL-SHA
Accepted TLS12 0 bits NULL-SHA
Accepted TLS12 0 bits NULL-MD5
Então, a minha pergunta é ... o que aconteceu aqui, que tentei remover algumas cifras da minha lista aceita e, em vez disso, adicionei um bando? O que fiz de errado?
Novamente, não critique minhas configurações de segurança reais. Por favor, apenas me ajude a entender o que está acontecendo.