Me pidieron que deshabilitara el uso de todos los SSL y TLS <TLS 1.2, globalmente en una de mis cajas Centos. Se ha sugerido que debería poder hacer esto en la biblioteca openssl.
Estoy razonablemente familiarizado con SSL/TLS, ciphersuites, etc., pero no veo cómo hacer esto en openssl.cnf. La documentación que encuentro es clara sobre cómo hacer esto para Apache o cómo limitar la versión de protocolo disponible dentro de una aplicación, pero eso no es lo que busco. No estoy ejecutando un servidor web.
Aparte de modificar la fuente para filtrar conjuntos de cifrado y protocolos y luego reconstruirla, ¿hay alguna manera de hacerlo?
Respuesta1
MinProtocolen el archivo de configuración es relativamente nuevo para OpenSSL, creo que 1.1.1.
Sin embargo, TLS es más complicado que eso, esta no es una respuesta fácil. OpenSSL MinProtocolsolo está disponible para versiones de distribución relativamente nuevas como EL8. La aplicación puede usar la API de una manera que no use openssl.cnf, posiblemente usando su propia configuración. O utilice un TLS diferente como gnutls o NSS.
Sigue siendo una buena idea leer la documentación, tal vez el código fuente, del software que utiliza para cualquier configuración relacionada con TLS. Históricamente, los servidores web exponían más configuración del protocolo. Pero no es el único software en el que TLS es más detallado que el encendido y apagado.
Luego, pruebe si se puede negociar un TLS menor durante la captura de un paquete. Existen herramientas para ayudar con esto.