최신 openssl 1.0.1t가 설치된 debian 7 서버에서 호환성 이유로 3DES 암호를 활성화하라는 요청을 받았습니다.
마침내 문제를 발견했습니다. 사이트는 TLS로만 작동하고 Debian 7의 openssl 1.0.1t는 TLS에 대한 3DES 암호화를 지원하지 않는 것 같습니다.
-#openssl ciphers -v 'ALL:COMPLEMENTOFALL' | grep DES
ECDHE-RSA-DES-CBC3-SHA SSLv3 Kx=ECDH Au=RSA Enc=3DES(168) Mac=SHA1
ECDHE-ECDSA-DES-CBC3-SHA SSLv3 Kx=ECDH Au=ECDSA Enc=3DES(168) Mac=SHA1
SRP-DSS-3DES-EDE-CBC-SHA SSLv3 Kx=SRP Au=DSS Enc=3DES(168) Mac=SHA1
SRP-RSA-3DES-EDE-CBC-SHA SSLv3 Kx=SRP Au=RSA Enc=3DES(168) Mac=SHA1
SRP-3DES-EDE-CBC-SHA SSLv3 Kx=SRP Au=SRP Enc=3DES(168) Mac=SHA1
EDH-RSA-DES-CBC3-SHA SSLv3 Kx=DH Au=RSA Enc=3DES(168) Mac=SHA1
EDH-DSS-DES-CBC3-SHA SSLv3 Kx=DH Au=DSS Enc=3DES(168) Mac=SHA1
AECDH-DES-CBC3-SHA SSLv3 Kx=ECDH Au=None Enc=3DES(168) Mac=SHA1
ADH-DES-CBC3-SHA SSLv3 Kx=DH Au=None Enc=3DES(168) Mac=SHA1
ECDH-RSA-DES-CBC3-SHA SSLv3 Kx=ECDH/RSA Au=ECDH Enc=3DES(168) Mac=SHA1
ECDH-ECDSA-DES-CBC3-SHA SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=3DES(168) Mac=SHA1
DES-CBC3-SHA SSLv3 Kx=RSA Au=RSA Enc=3DES(168) Mac=SHA1
PSK-3DES-EDE-CBC-SHA SSLv3 Kx=PSK Au=PSK Enc=3DES(168) Mac=SHA1
이 암호를 활성화하는 방법을 알고 있습니까? 아니면 SSL 패키지의 컴파일 옵션입니까? 인터넷에서 적절한 답변을 찾을 수 없습니다.
감사합니다.
편집 1 구성할 애플리케이션은 apache2입니다.
-# apache2 -v
Server version: Apache/2.2.22 (Debian)
Server built: Jul 20 2016 05:07:11
답변1
TLDR: 예, 지원되며 아마도 활성화되었을 것입니다
입력 SSLv3출력 ciphers -v은최저한의암호 모음이 작동하는 프로토콜입니다. 1.0.1 이상에서는 원래 SSLv3에 정의된 모든 암호화 제품군이 TLSv1.0 TLSv1.1 및 TLSv1.2에서도 지원 및 허용되지만 SSLv3을 사용해서는 안 됩니다.규약POODLE(및 RC4) 덕분입니다.
여기에는 이전에 각각 4346에서 공식적으로 삭제되고 5246에서 더 이상 사용되지 않는 내보내기 및 단일 DES 제품군이 포함되었지만 최근 패치 1.0.1 및 1.0.2에서는 이러한 제품군을 완전히 삭제했습니다(현명하지 않게 사용된 경우 TLSv1.0 및 SSLv3의 경우에도). 기본 빌드. 마찬가지로 IDEA는 5246에서 더 이상 사용되지 않지만 모든 프로토콜에서 계속 사용할 수 있습니다. 대조적으로 AEAD 및 SHA2 암호화 모음은 TLSv1.2에서만 지원되며 그 이하에서는 지원되지 않지만 3DES 암호화 모음은 AEAD 또는 SHA2가 아닙니다.
업스트림 DEFAULT암호 목록은 익명이 아닌 모든 3DES 암호 모음을 활성화하므로 데비안이 이를 변경하지 않는 한 구성도 필요하지 않습니다.
이는 본질적으로 다음과 같습니다.security.SX에 대한 내 답변
답변2
구성 파일을 편집 Apache하고 내부에 원하는 암호 제품군을 추가해야 합니다 SSLCipherSuite.
제발 좀 봐주세요이것아파치 사용법.