Definição de Rejeitado e Falhou no Conjunto de Cifra de Suporte

Question

Definição de Rejeitado e Falhou no Conjunto de Cifra de Suporte

#1 resposta do (3 votos)

5

Quando eu uso o SSLSCAN para verificar os conjuntos de criptografia do meu servidor, descobri que existem três status: Aceito, Rejeitado e Falhou. Depois disso, tentei desabilitar as cifras do RC2 (40bits). Eu criei uma nova chave "Enabled" = dword: 00000000 em [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Controle \ SecurityProviders \ SCHANNEL \ Ciphers \ RC2 40/128]. O SSLSCAN mostrou que EXP-RC2-CBC-MD5 (40bits) estava "falhando" mas o resto das cifras RC2 （40bits eram "Rejeitadas".

Então isso me deixou confuso: qual a diferença entre falha e rejeição? Me deparei com todas as informações do google, incluindo a página principal SSLSCAN, mas não encontrei uma resposta clara.

ssl openssl ssl-certificate

por ronin 28.02.2012 / 23:16

1 resposta

Tags ssl openssl ssl-certificate

Como desabilitar a Filtragem de Solicitações para um site específico no IIS 7.5? Passenger + nginx: o aplicativo não é executado no modo de produção

score 3 · Answer 1

Eu me perguntava sobre a mesma coisa, olhei para o código-fonte ( "Use a fonte, Luke!" :), e é simplesmente o valor de retorno de < href="http://www.openssl.org/docs/ssl/SSL_connect.html"> SSL_connect() da biblioteca OpenSSL . A documentação afirma que:

Accepted ( 1 ) significa:

The TLS/SSL handshake was successfully completed, a TLS/SSL connection has been established.
Rejected ( 0 ) significa:

The TLS/SSL handshake was not successful but was shut down controlled and by the specifications of the TLS/SSL protocol. Call SSL_get_error() with the return value ret to find out the reason.
Failed ( <0 ) significa:

The TLS/SSL handshake was not successful, because a fatal error occurred either at the protocol level or a connection failure occurred. The shutdown was not clean. It can also occur [if] action is need to continue the operation for non-blocking BIOs. Call SSL_get_error() with the return value ret to find out the reason.

Os dois últimos podem ser seguidos por um N/A , se link não estiver disponível.

Então, acho que sslscan deve conter uma opção --verbose ou -v que chama SSL_get_error() e gera o motivo real em que ele falhou (ou foi rejeitado).
Isso seria bastante útil. Porque agora, não é.

Por enquanto, tudo o que posso recomendar é conectar-se manualmente a um cliente mais real, forçar o uso de uma certa cifra no dito cliente ou no servidor, e depois mostrar o motivo real.
A menos que você queira melhorar o código de sslscan , é claro. :)