Centos ボックスの 1 つで、すべての SSL と TLS < TLS 1.2 の使用をグローバルに無効にするように求められました。openssl ライブラリでこれを実行できるはずだと提案されました。
SSL/TLS、暗号スイートなどについてはある程度理解していますが、openssl.cnf でこれを行う方法がわかりません。私が見つけたドキュメントには、Apache でこれを行う方法や、アプリケーション内で使用可能なプロトコル バージョンを制限する方法が明確に記載されていますが、それは私が求めているものではありません。私は Web サーバーを実行しているわけではありません。
暗号スイートとプロトコルをフィルタリングするためにソースを変更し、再構築する以外に、これを実行する方法はありますか?
答え1
MinProtocol設定ファイル内のは OpenSSL としては比較的新しいもので、1.1.1 だと思います。
ただし、TLS はそれよりも複雑で、簡単に答えられるものではありません。OpenSSL は、MinProtocolEL8 などの比較的新しいディストリビューション バージョンでのみ使用できます。アプリケーションは、openssl.cnf を使用しない方法で API を使用する可能性があり、独自の構成を使用している可能性があります。または、gnutls や NSS などの別の TLS を使用します。
TLS 関連の設定に使用するソフトウェアのドキュメント (場合によってはソース コード) を読むことは、依然として良い考えです。Web サーバーは歴史的に、より多くのプロトコル設定を公開してきました。しかし、TLS がオンとオフよりも細かく制御されているソフトウェアは Web サーバーだけではありません。
次に、パケット キャプチャ中に、より低い TLS をネゴシエートできるかどうかをテストします。これを支援するツールが存在します。