Fui solicitado a desabilitar o uso de todo SSL e TLS <TLS 1.2 globalmente em uma de minhas caixas Centos. Foi sugerido que eu pudesse fazer isso na biblioteca openssl.
Estou razoavelmente familiarizado com SSL/TLS, ciphersuites, etc, mas não consigo ver como fazer isso em openssl.cnf. A documentação que encontro é clara sobre como fazer isso no Apache ou como limitar a versão do protocolo disponível em um aplicativo, mas não é isso que procuro. Não estou executando um servidor web.
Além de modificar a fonte para filtrar conjuntos de criptografia e protocolos e depois reconstruí-la, existe uma maneira de fazer isso?
Responder1
openssl.cnfconfigura apenas algumas das ferramentas de linha de comando usadas para gerar e gerenciar certificados. Como tal, não faz nada pela biblioteca subjacente.
Você diz:
Não estou executando um servidor web
O que você está executando, o que causa preocupação? Se você não está executando nada, não precisa se preocupar com nada. Se você estiver executando algo, configure esse aplicativo para não usar esses protocolos ou conjuntos de criptografia.
Lembre-se também de que nem todos os aplicativos usam OpenSSL para essas funções - alguns podem usar GnuTLSou outros.
Você está correto - sem corrigir a fonte, não há como desabilitar esses protocolos globalmente.