Ich wurde gebeten, die Verwendung aller SSL- und TLS-Versionen < TLS 1.2-Versionen auf einer meiner Centos-Boxen global zu deaktivieren. Es wurde vorgeschlagen, dass ich dies in der OpenSSL-Bibliothek tun können sollte.
Ich bin einigermaßen vertraut mit SSL/TLS, Cipher Suites usw., kann aber nicht sehen, wie das in openssl.cnf geht. Die Dokumentation, die ich finde, erklärt klar, wie das für Apache geht oder wie man die verfügbare Protokollversion innerhalb einer Anwendung einschränkt, aber das ist nicht das, wonach ich suche. Ich betreibe keinen Webserver.
Gibt es eine Möglichkeit, dies zu tun, ohne die Quelle zu ändern, um Cipher Suites und Protokolle zu filtern, und sie dann neu zu erstellen?
Antwort1
MinProtocolin der Konfigurationsdatei ist relativ neu für OpenSSL, ich glaube 1.1.1.
TLS ist jedoch komplizierter, dies ist keine einfache Antwort. OpenSSL MinProtocolist nur für relativ neue Distributionsversionen wie EL8 verfügbar. Die Anwendung kann die API auf eine Weise verwenden, die openssl.cnf nicht verwendet, möglicherweise mithilfe ihrer eigenen Konfiguration. Oder verwenden Sie ein anderes TLS wie gnutls oder NSS.
Es ist dennoch eine gute Idee, die Dokumentation, möglicherweise den Quellcode, der Software zu lesen, die Sie für jede TLS-bezogene Konfiguration verwenden. Webserver haben in der Vergangenheit mehr von der Protokollkonfiguration offengelegt. Sie sind jedoch nicht die einzige Software, bei der TLS feinkörniger ist als ein- und ausgeschaltet.
Testen Sie dann, ob während einer Paketerfassung ein niedrigeres TLS ausgehandelt werden kann. Es gibt Tools, die Ihnen dabei helfen.