내 Centos 상자 중 하나에서 모든 SSL 및 TLS < TLS 1.2의 사용을 전역적으로 비활성화하라는 요청을 받았습니다. openssl 라이브러리에서 이 작업을 수행할 수 있어야 한다는 제안이 있었습니다.
SSL/TLS, 암호 제품군 등에 대해 잘 알고 있지만 openssl.cnf에서 이 작업을 수행하는 방법을 알 수 없습니다. 내가 찾은 문서에는 Apache에 대해 이 작업을 수행하는 방법이나 응용 프로그램 내에서 사용 가능한 프로토콜 버전을 제한하는 방법이 명확하게 설명되어 있지만 제가 원하는 것은 아닙니다. 저는 웹 서버를 운영하고 있지 않습니다.
암호 모음과 프로토콜을 필터링하기 위해 소스를 수정한 다음 다시 빌드하는 것 외에 이를 수행할 수 있는 방법이 있습니까?
답변1
MinProtocol구성 파일의 구성은 OpenSSL에 비교적 새로운 것입니다. 1.1.1이라고 생각합니다.
그러나 TLS는 그보다 더 복잡합니다. 이는 쉬운 대답이 아닙니다. OpenSSL은 MinProtocolEL8과 같은 비교적 새로운 배포판 버전에서만 사용할 수 있습니다. 애플리케이션은 openssl.cnf를 사용하지 않는 방식으로 API를 사용할 수 있으며, 자체 구성을 사용할 수도 있습니다. 또는 gnutls 또는 NSS와 같은 다른 TLS를 사용하십시오.
TLS 관련 구성에 사용하는 소프트웨어의 문서(소스 코드 등)를 읽어 보는 것이 좋습니다. 웹 서버는 역사적으로 더 많은 프로토콜 구성을 노출했습니다. 그러나 TLS가 켜짐과 꺼짐보다 더 세밀하게 조정되는 유일한 소프트웨어는 아닙니다.
그런 다음 패킷 캡처 중에 더 적은 TLS를 협상할 수 있는지 테스트합니다. 이를 돕기 위한 도구가 있습니다.