Ative a codificação 3DES para o openssl 1.0.1t no Debian 7

3

Fui solicitado a ativar a codificação 3DES por motivos de compatibilidade em um servidor Debian 7 com o openssl 1.0.1t atualizado.
Eu finalmente descobri o problema, o site está trabalhando apenas com TLS e parece que o openssl 1.0.1t no Debian 7 não suporta a codificação 3DES para TLS:

-#openssl ciphers -v 'ALL:COMPLEMENTOFALL' | grep DES
ECDHE-RSA-DES-CBC3-SHA  SSLv3 Kx=ECDH     Au=RSA  Enc=3DES(168) Mac=SHA1
ECDHE-ECDSA-DES-CBC3-SHA SSLv3 Kx=ECDH     Au=ECDSA Enc=3DES(168) Mac=SHA1
SRP-DSS-3DES-EDE-CBC-SHA SSLv3 Kx=SRP      Au=DSS  Enc=3DES(168) Mac=SHA1
SRP-RSA-3DES-EDE-CBC-SHA SSLv3 Kx=SRP      Au=RSA  Enc=3DES(168) Mac=SHA1
SRP-3DES-EDE-CBC-SHA    SSLv3 Kx=SRP      Au=SRP  Enc=3DES(168) Mac=SHA1
EDH-RSA-DES-CBC3-SHA    SSLv3 Kx=DH       Au=RSA  Enc=3DES(168) Mac=SHA1
EDH-DSS-DES-CBC3-SHA    SSLv3 Kx=DH       Au=DSS  Enc=3DES(168) Mac=SHA1
AECDH-DES-CBC3-SHA      SSLv3 Kx=ECDH     Au=None Enc=3DES(168) Mac=SHA1
ADH-DES-CBC3-SHA        SSLv3 Kx=DH       Au=None Enc=3DES(168) Mac=SHA1
ECDH-RSA-DES-CBC3-SHA   SSLv3 Kx=ECDH/RSA Au=ECDH Enc=3DES(168) Mac=SHA1
ECDH-ECDSA-DES-CBC3-SHA SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=3DES(168) Mac=SHA1
DES-CBC3-SHA            SSLv3 Kx=RSA      Au=RSA  Enc=3DES(168) Mac=SHA1
PSK-3DES-EDE-CBC-SHA    SSLv3 Kx=PSK      Au=PSK  Enc=3DES(168) Mac=SHA1

Você conhece uma maneira de ativar essa cifra ou é uma opção de compilação do pacote SSL, não consegui encontrar a resposta adequada na Internet.
Obrigado.

Editar 1 O aplicativo para configurar é o apache2:

-# apache2 -v
Server version: Apache/2.2.22 (Debian)
Server built:   Jul 20 2016 05:07:11
    
por Kiwy 27.10.2016 / 11:48

2 respostas

3

TLDR: sim, eles são compatíveis e provavelmente ativados

O SSLv3 em ciphers -v output é o mínimo protocolo em que um ciphersuite funciona. No 1.0.1 e acima todos os ciphersuites originalmente definidos em ou para SSLv3 também são suportados e permitidos em TLSv1.0 TLSv1.1 e TLSv1.2, embora você não deva usar SSLv3 protocol devido a POODLE (e RC4).

Anteriormente, isso incluía as suítes export e single-DES que foram oficialmente excluídas por 4346 e preteridas em 5246, respectivamente, mas os patches recentes de 1.0.1 e 1.0.2 os excluíram totalmente (mesmo para TLSv1.0 e SSLv3, se usados imprudentemente ) da compilação padrão. Da mesma forma, o IDEA permanece utilizável em todos os protocolos, embora 5246 o tenha desaprovado. Em contraste, os ciphersuites AEAD e SHA2 são suportados apenas no TLSv1.2 e não inferiores, mas nenhum ciphersuite 3DES é AEAD ou SHA2.

A lista de codificação upstream DEFAULT habilita todos os ciphersuites 3DES não anônimos, portanto, nem mesmo a configuração deve ser necessária, a menos que o Debian tenha alterado isso.

Isso é essencialmente o mesmo que esta minha resposta em security.SX

    
por 27.10.2016 / 13:58
0

Você precisa editar o arquivo de configuração Apache e adicionar o conjunto de criptografia que deseja dentro de SSLCipherSuite .

Por favor, dê uma olhada em este apache como fazer.

    
por 27.10.2016 / 12:55