내 Centos 상자 중 하나에서 모든 SSL 및 TLS < TLS 1.2의 사용을 전역적으로 비활성화하라는 요청을 받았습니다. openssl 라이브러리에서 이 작업을 수행할 수 있어야 한다는 제안이 있었습니다.
SSL/TLS, 암호 제품군 등에 대해 잘 알고 있지만 openssl.cnf에서 이 작업을 수행하는 방법을 알 수 없습니다. 내가 찾은 문서에는 Apache에 대해 이 작업을 수행하는 방법이나 응용 프로그램 내에서 사용 가능한 프로토콜 버전을 제한하는 방법이 명확하게 설명되어 있지만 제가 원하는 것은 아닙니다. 저는 웹 서버를 운영하고 있지 않습니다.
암호 모음과 프로토콜을 필터링하기 위해 소스를 수정한 다음 다시 빌드하는 것 외에 이를 수행할 수 있는 방법이 있습니까?
답변1
openssl.cnf인증서를 생성하고 관리하는 데 사용되는 일부 명령줄 도구만 구성합니다. 따라서 기본 라이브러리에는 아무 작업도 수행하지 않습니다.
당신은 말한다:
웹 서버를 운영하고 있지 않습니다.
당신은 무엇을 실행하고 있는데, 이는 우려를 불러일으키나요? 아무것도 실행하지 않는다면 걱정할 것이 없습니다. 무언가를 실행 중인 경우 해당 프로토콜이나 암호 제품군을 사용하지 않도록 해당 응용 프로그램을 구성하십시오.
또한 모든 애플리케이션이 이러한 기능에 OpenSSL을 사용하는 것은 아닙니다. 일부 애플리케이션은 GnuTLS를 사용할 수도 있습니다.또는 다른 사람.
당신 말이 맞습니다. 소스를 패치하지 않으면 이러한 프로토콜을 전역적으로 비활성화할 수 있는 방법이 없습니다.