Habilite el cifrado 3DES para openssl 1.0.1t en Debian 7

tag-icon tag-icon debian openssl
Habilite el cifrado 3DES para openssl 1.0.1t en Debian 7

Me pidieron que habilite el cifrado 3DES por razones de compatibilidad en un servidor Debian 7 con openssl 1.0.1t actualizado.
Finalmente descubrí el problema, el sitio solo funciona con TLS y parece que openssl 1.0.1t en Debian 7 no admite el cifrado 3DES para TLS:

-#openssl ciphers -v 'ALL:COMPLEMENTOFALL' | grep DES
ECDHE-RSA-DES-CBC3-SHA  SSLv3 Kx=ECDH     Au=RSA  Enc=3DES(168) Mac=SHA1
ECDHE-ECDSA-DES-CBC3-SHA SSLv3 Kx=ECDH     Au=ECDSA Enc=3DES(168) Mac=SHA1
SRP-DSS-3DES-EDE-CBC-SHA SSLv3 Kx=SRP      Au=DSS  Enc=3DES(168) Mac=SHA1
SRP-RSA-3DES-EDE-CBC-SHA SSLv3 Kx=SRP      Au=RSA  Enc=3DES(168) Mac=SHA1
SRP-3DES-EDE-CBC-SHA    SSLv3 Kx=SRP      Au=SRP  Enc=3DES(168) Mac=SHA1
EDH-RSA-DES-CBC3-SHA    SSLv3 Kx=DH       Au=RSA  Enc=3DES(168) Mac=SHA1
EDH-DSS-DES-CBC3-SHA    SSLv3 Kx=DH       Au=DSS  Enc=3DES(168) Mac=SHA1
AECDH-DES-CBC3-SHA      SSLv3 Kx=ECDH     Au=None Enc=3DES(168) Mac=SHA1
ADH-DES-CBC3-SHA        SSLv3 Kx=DH       Au=None Enc=3DES(168) Mac=SHA1
ECDH-RSA-DES-CBC3-SHA   SSLv3 Kx=ECDH/RSA Au=ECDH Enc=3DES(168) Mac=SHA1
ECDH-ECDSA-DES-CBC3-SHA SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=3DES(168) Mac=SHA1
DES-CBC3-SHA            SSLv3 Kx=RSA      Au=RSA  Enc=3DES(168) Mac=SHA1
PSK-3DES-EDE-CBC-SHA    SSLv3 Kx=PSK      Au=PSK  Enc=3DES(168) Mac=SHA1

¿Conoce alguna forma de habilitar este cifrado o es una opción de compilación del paquete SSL? No pude encontrar la respuesta adecuada en Internet.
Gracias.

Editar 1 La aplicación a configurar es apache2:

-# apache2 -v
Server version: Apache/2.2.22 (Debian)
Server built:   Jul 20 2016 05:07:11

Respuesta1

TLDR: sí, son compatibles y probablemente estén habilitados

La salida SSLv3de ciphers -ventrada es lamínimoprotocolo donde funciona un conjunto de cifrado. En 1.0.1 y versiones posteriores, todos los conjuntos de cifrado definidos originalmente en o para SSLv3 también son compatibles y permitidos en TLSv1.0, TLSv1.1 y TLSv1.2, aunque no debe usar SSLv3.protocoloen absoluto debido a POODLE (y RC4).

Anteriormente, esto incluía las suites de exportación y DES único que fueron oficialmente eliminadas por 4346 y obsoletas por 5246 respectivamente, pero los parches recientes de 1.0.1 y 1.0.2 las eliminaron por completo (incluso para TLSv1.0 y SSLv3 si se usan imprudentemente) del compilación predeterminada. De manera similar, IDEA sigue siendo utilizable en todos los protocolos a pesar de que 5246 lo desaprobó. Por el contrario, los conjuntos de cifrado AEAD y SHA2 solo se admiten en TLSv1.2 y no en versiones inferiores, pero ningún conjunto de cifrado 3DES es AEAD o SHA2.

La DEFAULTlista de cifrado ascendente habilita todos los conjuntos de cifrado 3DES no anónimos, por lo que ni siquiera debería ser necesaria la configuración a menos que Debian haya cambiado esto.

Esto es esencialmente lo mismo queesta respuesta mía sobre seguridad.SX

Respuesta2

Tienes que editar tu Apachearchivo de configuración y agregar el conjunto de cifrado que deseas dentro SSLCipherSuite.

Por favor, echa un vistazo aesteinstrucciones de apache.

información relacionada