Fui solicitado a desabilitar o uso de todo SSL e TLS <TLS 1.2 globalmente em uma de minhas caixas Centos. Foi sugerido que eu pudesse fazer isso na biblioteca openssl.
Estou razoavelmente familiarizado com SSL/TLS, ciphersuites, etc, mas não consigo ver como fazer isso em openssl.cnf. A documentação que encontro é clara sobre como fazer isso no Apache ou como limitar a versão do protocolo disponível em um aplicativo, mas não é isso que procuro. Não estou executando um servidor web.
Além de modificar a fonte para filtrar conjuntos de criptografia e protocolos e depois reconstruí-la, existe uma maneira de fazer isso?
Responder1
MinProtocolno arquivo de configuração é relativamente novo no OpenSSL, acho que 1.1.1.
No entanto, o TLS é mais confuso do que isso, esta não é uma resposta fácil. OpenSSL MinProtocolestá disponível apenas para versões de distribuição relativamente novas, como EL8. A aplicação pode utilizar a API de uma forma que não utiliza o openssl.cnf, possivelmente utilizando sua própria configuração. Ou use um TLS diferente como gnutls ou NSS.
Ainda é uma boa ideia ler a documentação, talvez o código-fonte, do software que você usa para qualquer configuração relacionada ao TLS. Os servidores Web historicamente expuseram mais a configuração do protocolo. Mas eles não são o único software em que o TLS é mais refinado do que ligado e desligado.
Em seguida, teste se um TLS menor pode ser negociado durante uma captura de pacote. Existem ferramentas para ajudar com isso.