Centos ボックスの 1 つで、すべての SSL と TLS < TLS 1.2 の使用をグローバルに無効にするように求められました。openssl ライブラリでこれを実行できるはずだと提案されました。
SSL/TLS、暗号スイートなどについてはある程度理解していますが、openssl.cnf でこれを行う方法がわかりません。私が見つけたドキュメントには、Apache でこれを行う方法や、アプリケーション内で使用可能なプロトコル バージョンを制限する方法が明確に記載されていますが、それは私が求めているものではありません。私は Web サーバーを実行しているわけではありません。
暗号スイートとプロトコルをフィルタリングするためにソースを変更し、再構築する以外に、これを実行する方法はありますか?
答え1
openssl.cnf証明書の生成と管理に使用されるコマンドライン ツールの一部のみを構成します。そのため、基盤となるライブラリには何も行われません。
あなたは言う:
私はウェブサーバーを運営していません
懸念されるのは、何を実行しているかです。何も実行していない場合は、心配する必要はありません。何かを実行している場合は、そのアプリケーションがそれらのプロトコルまたは暗号スイートを使用しないように構成してください。
また、すべてのアプリケーションがこれらの機能にOpenSSLを使用するわけではないことに留意してください。一部のアプリケーションではGnuTLSが使用される場合があります。またはその他。
おっしゃる通りです。ソースにパッチを当てない限り、これらのプロトコルをグローバルに無効にする方法はありません。