Além de: a lista de códigos-chave DEFAULT no upstream 1.0.1 inclui EXPORT antes de m (março de 2015); em s (março de 2016) eles foram removidos da compilação (não apenas da lista padrão), juntamente com LOW, que continha apenas DES único. Você está construindo a partir da fonte ou usando a compilação ou o pacote de outra pessoa? Um construtor ou empacotador pode alterar o padrão upstream. Além disso, as distribuições baseadas em RedHat e Debian, pelo menos (e talvez outras), remendam as correções de segurança sem alterar a versão interna, portanto, com esses pacotes openssl version
realmente não informam o que você está executando; você precisa ver a versão do pacote , algo como openssl-1.0.1e-NN.elN
ou openssl-1.0.1e-N+debN
.
Usar +
em uma criptografia OpenSSL não altera o conteúdo da lista de cifras, ela apenas altera a ordem movendo alguns ciphersuites para o end . Por exemplo, +RC4
significa que as suítes RC4 que já estão na lista devem ser colocadas no final da lista, onde elas podem ter menos probabilidade de serem selecionadas. A ordem geralmente é importante para um cliente, uma vez que a preferência do cliente normalmente controla qual ciphersuite é escolhido dentre aqueles possíveis; para o servidor, só importa se o servidor estiver configurado para substituir a preferência do cliente e usar a preferência do servidor.
Você deve especificar DEFAULT:EXPORT:!aNULL
(você pode abreviar DEFAULT:EXP:!aNULL
) ou alternativamente ALL:!aNULL
. Você deve usar !aNULL
porque DEFAULT
exclui conjuntos de não-autenticação anônimos, mas EXPORT
(e da mesma forma LOW MEDIUM HIGH
) ou ALL
os inclui, e especialmente para a Web (HTTPS) eles não devem ser usados .
Você pode usar a linha de comando openssl ciphers [-v] $string
para ver quais cifras estão ativadas em sua construção por uma determinada string. O formato padrão é empacotado em uma linha e difícil de ler, a menos que você o canalize através de algo como tr : '\n'
; (IMO melhor) -v
coloca cada cifra em uma linha separada e adiciona detalhes que às vezes são úteis (e se não são fáceis de ignorar).