Como bloquear cifras suportadas pelo OpenSSL na configuração do OpenSSL?

1

Existe uma maneira de bloquear conjuntos de cifras suportadas pelo OpenSSL na configuração do OpenSSL, como se opor a fazê-lo no Apache, criando:

SSLCipherSuite HIGH:!aNULL:@STTRENGTH

?

    
por user3299199 20.03.2015 / 18:18

2 respostas

2

Você pode usar openssl s_client --help para obter algumas informações sobre os protocolos a serem usados:

-ssl2 - just use SSLv2 -ssl3 - just use SSLv3 -tls1_2 - just use TLSv1.2 -tls1_1 - just use TLSv1.1 -tls1 - just use TLSv1 -dtls1 - just use DTLSv1

Também menciona -ciphers:

-cipher - preferred cipher to use, use the 'openssl ciphers' command to see what is available

E as cifras openssl fornecem a lista. Então, em suma, sim, você deve ser capaz de usar o protocolo fixo e a cifra do lado do cliente.

    
por 20.03.2015 / 19:11
2

Eu não acho que haja uma maneira (por meio de configuração) de desabilitar várias cifras para todos os programas que usam as bibliotecas de criptografia openssl.

Você deve, no entanto, ser capaz de recompilar sua própria biblioteca openssl, configurando algumas opções de linha de comando para fazer o mesmo. De acordo com o OpenSSL Wiki , você pode verificar o ssl_algs.c dos switches:

    ...
#ifndef OPENSSL_NO_DES
    EVP_add_cipher(EVP_des_cbc());
    EVP_add_cipher(EVP_des_ede3_cbc());
#endif
#ifndef OPENSSL_NO_IDEA
    EVP_add_cipher(EVP_idea_cbc());
#endif
    ...
    
por 10.02.2016 / 18:18

Tags