Меня попросили отключить использование всех SSL и TLS < TLS 1.2 глобально на одном из моих Centos-боксов. Было предложено, что я должен иметь возможность сделать это в библиотеке openssl.
Я достаточно хорошо знаком с SSL/TLS, ciphersuites и т. д., но не вижу, как это сделать в openssl.cnf. В документации, которую я нашел, четко указано, как это сделать для Apache или как ограничить доступную версию протокола в приложении, но это не то, что мне нужно. Я не использую веб-сервер.
Есть ли способ сделать это, за исключением изменения исходного кода для фильтрации наборов шифров и протоколов, а затем перестройки?
решение1
openssl.cnfтолько настраивает некоторые инструменты командной строки, используемые для генерации и управления сертификатами. Таким образом, он ничего не делает для базовой библиотеки.
Ты говоришь:
Я не использую веб-сервер.
Что вы запускаете, что вызывает беспокойство? Если вы ничего не запускаете, то вам не о чем беспокоиться. Если вы что-то запускаете, то настройте это приложение так, чтобы оно не использовало эти протоколы или наборы шифров.
Также имейте в виду, что не все приложения используют OpenSSL для этих функций — некоторые могут использовать GnuTLS.или другие.
Вы правы — за исключением исправления источника, нет возможности отключить эти протоколы глобально.