Aktivieren Sie die 3DES-Verschlüsselung für OpenSSL 1.0.1t unter Debian 7.

tag-icon tag-icon debian openssl
Aktivieren Sie die 3DES-Verschlüsselung für OpenSSL 1.0.1t unter Debian 7.

Ich wurde gebeten, aus Kompatibilitätsgründen die 3DES-Verschlüsselung auf einem Debian-7-Server mit aktuellem OpenSSL 1.0.1t zu aktivieren.
Ich habe das Problem endlich herausgefunden, die Site funktioniert nur mit TLS und es scheint, dass OpenSSL 1.0.1t unter Debian 7 die 3DES-Verschlüsselung für TLS nicht unterstützt:

-#openssl ciphers -v 'ALL:COMPLEMENTOFALL' | grep DES
ECDHE-RSA-DES-CBC3-SHA  SSLv3 Kx=ECDH     Au=RSA  Enc=3DES(168) Mac=SHA1
ECDHE-ECDSA-DES-CBC3-SHA SSLv3 Kx=ECDH     Au=ECDSA Enc=3DES(168) Mac=SHA1
SRP-DSS-3DES-EDE-CBC-SHA SSLv3 Kx=SRP      Au=DSS  Enc=3DES(168) Mac=SHA1
SRP-RSA-3DES-EDE-CBC-SHA SSLv3 Kx=SRP      Au=RSA  Enc=3DES(168) Mac=SHA1
SRP-3DES-EDE-CBC-SHA    SSLv3 Kx=SRP      Au=SRP  Enc=3DES(168) Mac=SHA1
EDH-RSA-DES-CBC3-SHA    SSLv3 Kx=DH       Au=RSA  Enc=3DES(168) Mac=SHA1
EDH-DSS-DES-CBC3-SHA    SSLv3 Kx=DH       Au=DSS  Enc=3DES(168) Mac=SHA1
AECDH-DES-CBC3-SHA      SSLv3 Kx=ECDH     Au=None Enc=3DES(168) Mac=SHA1
ADH-DES-CBC3-SHA        SSLv3 Kx=DH       Au=None Enc=3DES(168) Mac=SHA1
ECDH-RSA-DES-CBC3-SHA   SSLv3 Kx=ECDH/RSA Au=ECDH Enc=3DES(168) Mac=SHA1
ECDH-ECDSA-DES-CBC3-SHA SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=3DES(168) Mac=SHA1
DES-CBC3-SHA            SSLv3 Kx=RSA      Au=RSA  Enc=3DES(168) Mac=SHA1
PSK-3DES-EDE-CBC-SHA    SSLv3 Kx=PSK      Au=PSK  Enc=3DES(168) Mac=SHA1

Kennen Sie eine Möglichkeit, diese Verschlüsselung zu aktivieren, oder handelt es sich dabei um eine Kompilierungsoption des SSL-Pakets? Ich konnte im Internet keine passende Antwort finden.
Danke.

Bearbeiten 1 Die zu konfigurierende Anwendung ist Apache2:

-# apache2 -v
Server version: Apache/2.2.22 (Debian)
Server built:   Jul 20 2016 05:07:11

Antwort1

TLDR: ja, sie werden unterstützt und wahrscheinlich aktiviert

Der SSLv3Ausgang ciphers -vist derMinimumProtokoll, in dem eine Cipher Suite funktioniert. Ab 1.0.1 werden alle ursprünglich in oder für SSLv3 definierten Cipher Suites auch in TLSv1.0 TLSv1.1 und TLSv1.2 unterstützt und zugelassen, obwohl Sie SSLv3 nicht verwenden sollten.Protokollüberhaupt nicht aufgrund von POODLE (und RC4).

Dies umfasste früher die Export- und Single-DES-Suiten, die offiziell von 4346 gelöscht bzw. von 5246 als veraltet markiert wurden, aber die jüngsten Patches 1.0.1 und 1.0.2 haben diese vollständig aus dem Standard-Build gelöscht (sogar für TLSv1.0 und SSLv3 bei unüberlegter Verwendung). Ebenso bleibt IDEA in allen Protokollen verwendbar, obwohl es von 5246 als veraltet markiert wurde. Im Gegensatz dazu werden AEAD- und SHA2-Chiffresuiten nur in TLSv1.2 und nicht niedriger unterstützt, aber keine 3DES-Chiffresuiten sind entweder AEAD oder SHA2.

Die Upstream DEFAULT-Chiffreliste aktiviert alle nicht anonymen 3DES-Chiffre-Suiten, sodass nicht einmal eine Konfiguration erforderlich sein sollte, sofern Debian dies nicht geändert hat.

Dies ist im Wesentlichen dasselbe wiediese Antwort von mir zum Thema Sicherheit.SX

Antwort2

Sie müssen Ihre ApacheKonfigurationsdatei bearbeiten und die gewünschte Verschlüsselungssammlung hinzufügen SSLCipherSuite.

Bitte schauen Sie sich anDasApache-Anleitung.

verwandte Informationen