Estou tendo um problema ao testar uma configuração SSL reforçada para libra .
Um dos requisitos é a inclusão de cifras AES [128 | 256] -SHA256 , juntamente com a ordem estrita de preferência. Eu instalei o OpenSSL 1.0.1c-fips no CentOS 6 (através dos repos IUS ), e reconstruí a libra contra (juntamente com um patch para honrar o pedido ).
A configuração da minha criptografia contém seis cifras e lê:
Ciphers "RC4-SHA:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA"
SSLHonorCipherOrder 1
Na minha máquina local ( Ubuntu 12.04, executando o OpenSSL 1.0.1 ), tenho um script que testa cada codificação suportada localmente contra o site e relata os resultados. A saída abreviada é:
~$ ciphertest.sh x.x.x.x:443 | grep YES
Testing AES256-SHA...YES
Testing DES-CBC3-SHA...YES
Testing AES128-SHA...YES
Testing RC4-SHA...YES
Você pode ver que as cifras SHA256 não estão funcionando. No entanto, posso confirmar que o meu OpenSSL local tem suporte a AES256-SHA256:
~$ openssl ciphers -v | grep ^AES256-SHA256
AES256-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA256
Eu pensei que isso fosse um problema de configuração, até que eu executei um teste ssllabs.com , que informa todas as 6 cifras:
Então, alguém pode explicar por que meus testes openssl não estão conseguindo se conectar usando cifras SHA256?