Habilite a cifra 3DES para openssl 1.0.1t no Debian 7

tag-icon tag-icon debian openssl
Habilite a cifra 3DES para openssl 1.0.1t no Debian 7

Fui solicitado a ativar a cifra 3DES por motivos de compatibilidade em um servidor Debian 7 com o openssl 1.0.1t atualizado.
Finalmente descobri o problema, o site só funciona com TLS e parece que o openssl 1.0.1t no Debian 7 não suporta cifra 3DES para TLS:

-#openssl ciphers -v 'ALL:COMPLEMENTOFALL' | grep DES
ECDHE-RSA-DES-CBC3-SHA  SSLv3 Kx=ECDH     Au=RSA  Enc=3DES(168) Mac=SHA1
ECDHE-ECDSA-DES-CBC3-SHA SSLv3 Kx=ECDH     Au=ECDSA Enc=3DES(168) Mac=SHA1
SRP-DSS-3DES-EDE-CBC-SHA SSLv3 Kx=SRP      Au=DSS  Enc=3DES(168) Mac=SHA1
SRP-RSA-3DES-EDE-CBC-SHA SSLv3 Kx=SRP      Au=RSA  Enc=3DES(168) Mac=SHA1
SRP-3DES-EDE-CBC-SHA    SSLv3 Kx=SRP      Au=SRP  Enc=3DES(168) Mac=SHA1
EDH-RSA-DES-CBC3-SHA    SSLv3 Kx=DH       Au=RSA  Enc=3DES(168) Mac=SHA1
EDH-DSS-DES-CBC3-SHA    SSLv3 Kx=DH       Au=DSS  Enc=3DES(168) Mac=SHA1
AECDH-DES-CBC3-SHA      SSLv3 Kx=ECDH     Au=None Enc=3DES(168) Mac=SHA1
ADH-DES-CBC3-SHA        SSLv3 Kx=DH       Au=None Enc=3DES(168) Mac=SHA1
ECDH-RSA-DES-CBC3-SHA   SSLv3 Kx=ECDH/RSA Au=ECDH Enc=3DES(168) Mac=SHA1
ECDH-ECDSA-DES-CBC3-SHA SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=3DES(168) Mac=SHA1
DES-CBC3-SHA            SSLv3 Kx=RSA      Au=RSA  Enc=3DES(168) Mac=SHA1
PSK-3DES-EDE-CBC-SHA    SSLv3 Kx=PSK      Au=PSK  Enc=3DES(168) Mac=SHA1

Você conhece uma forma de habilitar essa cifra ou é uma opção de compilação do pacote SSL, não encontrei a resposta adequada na Internet.
Obrigado.

Editar 1 O aplicativo a ser configurado é o apache2:

-# apache2 -v
Server version: Apache/2.2.22 (Debian)
Server built:   Jul 20 2016 05:07:11

Responder1

TLDR: sim, eles são suportados e provavelmente habilitados

A saída SSLv3de ciphers -ventrada é amínimoprotocolo onde funciona um ciphersuite. Na versão 1.0.1 e superior, todos os conjuntos de criptografia originalmente definidos em ou para SSLv3 também são suportados e permitidos em TLSv1.0, TLSv1.1 e TLSv1.2, embora você não deva usar SSLv3protocolodevido ao POODLE (e RC4).

Anteriormente, isso incluía os conjuntos de exportação e DES único que foram oficialmente excluídos por 4346 e obsoletos por 5246, respectivamente, mas os patches recentes de 1.0.1 e 1.0.2 os excluíram completamente (mesmo para TLSv1.0 e SSLv3 se usados ​​imprudentemente) do compilação padrão. Da mesma forma, o IDEA permanece utilizável em todos os protocolos, embora 5246 o tenha obsoleto. Em contraste, os conjuntos de criptografia AEAD e SHA2 são suportados apenas em TLSv1.2 e não inferior, mas nenhum conjunto de criptografia 3DES é AEAD ou SHA2.

A DEFAULTcipherlist upstream habilita todos os ciphersuites 3DES não anônimos, então nem mesmo a configuração deve ser necessária, a menos que o Debian tenha mudado isso.

Isto é essencialmente o mesmo queesta minha resposta em security.SX

Responder2

Você precisa editar seu Apachearquivo de configuração e adicionar o conjunto de criptografia que deseja dentro dele SSLCipherSuite.

Por favor, dê uma olhadaesseapache como fazer.

informação relacionada