最新の openssl 1.0.1t を搭載した Debian 7 サーバーで互換性の理由から 3DES 暗号を有効にするように求められました。
ようやく問題が分かりました。サイトは TLS でのみ動作しており、Debian 7 の openssl 1.0.1t は TLS の 3DES 暗号をサポートしていないようです。
-#openssl ciphers -v 'ALL:COMPLEMENTOFALL' | grep DES
ECDHE-RSA-DES-CBC3-SHA SSLv3 Kx=ECDH Au=RSA Enc=3DES(168) Mac=SHA1
ECDHE-ECDSA-DES-CBC3-SHA SSLv3 Kx=ECDH Au=ECDSA Enc=3DES(168) Mac=SHA1
SRP-DSS-3DES-EDE-CBC-SHA SSLv3 Kx=SRP Au=DSS Enc=3DES(168) Mac=SHA1
SRP-RSA-3DES-EDE-CBC-SHA SSLv3 Kx=SRP Au=RSA Enc=3DES(168) Mac=SHA1
SRP-3DES-EDE-CBC-SHA SSLv3 Kx=SRP Au=SRP Enc=3DES(168) Mac=SHA1
EDH-RSA-DES-CBC3-SHA SSLv3 Kx=DH Au=RSA Enc=3DES(168) Mac=SHA1
EDH-DSS-DES-CBC3-SHA SSLv3 Kx=DH Au=DSS Enc=3DES(168) Mac=SHA1
AECDH-DES-CBC3-SHA SSLv3 Kx=ECDH Au=None Enc=3DES(168) Mac=SHA1
ADH-DES-CBC3-SHA SSLv3 Kx=DH Au=None Enc=3DES(168) Mac=SHA1
ECDH-RSA-DES-CBC3-SHA SSLv3 Kx=ECDH/RSA Au=ECDH Enc=3DES(168) Mac=SHA1
ECDH-ECDSA-DES-CBC3-SHA SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=3DES(168) Mac=SHA1
DES-CBC3-SHA SSLv3 Kx=RSA Au=RSA Enc=3DES(168) Mac=SHA1
PSK-3DES-EDE-CBC-SHA SSLv3 Kx=PSK Au=PSK Enc=3DES(168) Mac=SHA1
この暗号を有効にする方法をご存知ですか、それとも SSL パッケージのコンパイル オプションですか。インターネット上で適切な回答を見つけることができませんでした。
ありがとうございます。
編集1 設定するアプリケーションはapache2です:
-# apache2 -v
Server version: Apache/2.2.22 (Debian)
Server built: Jul 20 2016 05:07:11
答え1
TLDR: はい、サポートされており、おそらく有効になっています
SSLv3入力出力ciphers -vは最小暗号スイートが機能するプロトコル。1.0.1以降では、SSLv3で定義されたすべての暗号スイートはTLSv1.0、TLSv1.1、TLSv1.2でもサポートされ、許可されていますが、SSLv3は使用しないでください。プロトコルPOODLE (および RC4) のせいでまったく機能しません。
これには、それぞれ 4346 で公式に削除され、5246 で非推奨となったエクスポート スイートとシングル DES スイートが含まれていましたが、最近の 1.0.1 および 1.0.2 のパッチでは、これらがデフォルトのビルドから完全に削除されました (TLSv1.0 および SSLv3 でも、賢明でない使用の場合)。同様に、IDEA は 5246 で非推奨となったにもかかわらず、すべてのプロトコルで引き続き使用できます。対照的に、AEAD および SHA2 暗号スイートは TLSv1.2 でのみサポートされ、それ以下ではサポートされませんが、3DES 暗号スイートは AEAD または SHA2 のいずれでもありません。
アップストリームのDEFAULT暗号リストはすべての非匿名 3DES 暗号スイートを有効にするため、Debian がこれを変更しない限り、設定も必要ありません。
これは本質的にはsecurity.SXに関する私の回答
答え2
Apache設定ファイルを編集し、必要な暗号スイートを追加する必要がありますSSLCipherSuite。
ぜひご覧くださいこれApache の使い方。