Para trabalhar com esse tipo de situação, recomendo usar a ferramenta de linha de comando openssl ciphers
, por exemplo. :
openssl ciphers -v 'RSA+AES' | sort
que listará os conjuntos de criptografia individuais para esse nome de criptografia OpenSSL; a opção de linha de comando -v
fornece mais informações (como a versão do protocolo para esse ciphersuite) e torna o formato de saída mais parecido com a saída SSLScan
. O uso de sort
é opcional; Pessoalmente, acho mais fácil procurar nomes, como os que você forneceu, usando uma lista ordenada.
Eu recomendo usar aspas simples em torno do nome da cifra, para que ele não seja interpretado pelo shell. Observe que o uso de versões de protocolo também funciona, por exemplo. :
openssl ciphers 'TLSv1.2'
Usando essa abordagem, e passando pelas versões de protocolo e , os culpados são DH+AES256
, o que fornece:
openssl ciphers -v 'DH+AES256'
...
DHE-RSA-AES256-SHA SSLv3 Kx=DH Au=RSA Enc=AES(256) Mac=SHA1
...
Outro culpado é DH+AES
:
openssl ciphers -v 'DH+AES' | sort
...
DHE-RSA-AES128-SHA SSLv3 Kx=DH Au=RSA Enc=AES(128) Mac=SHA1
...
E há DH+3DES
, que fornece:
openssl ciphers -v 'DH+3DES' | sort
...
EDH-RSA-DES-CBC3-SHA SSLv3 Kx=DH Au=RSA Enc=3DES(168) Mac=SHA1
...
O nome RSA+AES
fornece dois dos seus ciphersuites indesejados:
openssl ciphers -v 'RSA+AES' | sort
...
AES128-SHA SSLv3 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA1
...
AES256-SHA SSLv3 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA1
...
Por fim, há RSA+3DES
:
openssl ciphers -v 'RSA+3DES' | sort
...
DES-CBC3-SHA SSLv3 Kx=RSA Au=RSA Enc=3DES(168) Mac=SHA1
Então, você poderia remover todos os nomes de culpado mencionados na sua diretiva SSLCipherSuite
, contanto que haja ciphersuites suportados suficientes para seus clientes.
Espero que isso ajude!