Me pidieron que deshabilitara el uso de todos los SSL y TLS <TLS 1.2, globalmente en una de mis cajas Centos. Se ha sugerido que debería poder hacer esto en la biblioteca openssl.
Estoy razonablemente familiarizado con SSL/TLS, ciphersuites, etc., pero no veo cómo hacer esto en openssl.cnf. La documentación que encuentro es clara sobre cómo hacer esto para Apache o cómo limitar la versión de protocolo disponible dentro de una aplicación, pero eso no es lo que busco. No estoy ejecutando un servidor web.
Aparte de modificar la fuente para filtrar conjuntos de cifrado y protocolos y luego reconstruirla, ¿hay alguna manera de hacerlo?
Respuesta1
openssl.cnfsolo configura algunas de las herramientas de línea de comandos utilizadas para generar y administrar certificados. Como tal, no hace nada por la biblioteca subyacente.
Tu dices:
No estoy ejecutando un servidor web
¿Qué estás ejecutando, lo que causa preocupación? Si no estás ejecutando nada, entonces no tienes nada de qué preocuparte. Si está ejecutando algo, configure esa aplicación para que no utilice esos protocolos o conjuntos de cifrado.
También tenga en cuenta que no todas las aplicaciones usan OpenSSL para estas funciones; algunas pueden usar GnuTLSu otras personas.
Tienes razón: salvo parchear la fuente, no hay forma de desactivar estos protocolos globalmente.