Ich wurde gebeten, die Verwendung aller SSL- und TLS-Versionen < TLS 1.2-Versionen auf einer meiner Centos-Boxen global zu deaktivieren. Es wurde vorgeschlagen, dass ich dies in der OpenSSL-Bibliothek tun können sollte.
Ich bin einigermaßen vertraut mit SSL/TLS, Cipher Suites usw., kann aber nicht sehen, wie das in openssl.cnf geht. Die Dokumentation, die ich finde, erklärt klar, wie das für Apache geht oder wie man die verfügbare Protokollversion innerhalb einer Anwendung einschränkt, aber das ist nicht das, wonach ich suche. Ich betreibe keinen Webserver.
Gibt es eine Möglichkeit, dies zu tun, ohne die Quelle zu ändern, um Cipher Suites und Protokolle zu filtern, und sie dann neu zu erstellen?
Antwort1
openssl.cnfkonfiguriert nur einige der Befehlszeilentools, die zum Generieren und Verwalten von Zertifikaten verwendet werden. Daher tut es nichts für die zugrunde liegende Bibliothek.
Du sagst:
Ich betreibe keinen Webserver
Was führen Sie aus, das Anlass zur Sorge gibt? Wenn Sie nichts ausführen, besteht kein Grund zur Sorge. Wenn Sie etwas ausführen, konfigurieren Sie die Anwendung so, dass diese Protokolle oder Verschlüsselungssammlungen nicht verwendet werden.
Bedenken Sie auch, dass nicht alle Anwendungen OpenSSL für diese Funktionen verwenden - einige verwenden möglicherweise GnuTLSoder andere.
Sie haben Recht – ohne Patchen der Quelle gibt es keine Möglichkeit, diese Protokolle global zu deaktivieren.