Меня попросили отключить использование всех SSL и TLS < TLS 1.2 глобально на одном из моих Centos-боксов. Было предложено, что я должен иметь возможность сделать это в библиотеке openssl.
Я достаточно хорошо знаком с SSL/TLS, ciphersuites и т. д., но не вижу, как это сделать в openssl.cnf. В документации, которую я нашел, четко указано, как это сделать для Apache или как ограничить доступную версию протокола в приложении, но это не то, что мне нужно. Я не использую веб-сервер.
Есть ли способ сделать это, за исключением изменения исходного кода для фильтрации наборов шифров и протоколов, а затем перестройки?
решение1
MinProtocolв файле конфигурации относительно новая версия OpenSSL, по-моему 1.1.1.
Однако TLS сложнее, это не простой ответ. OpenSSL MinProtocolдоступен только для относительно новых версий дистрибутивов, таких как EL8. Приложение может использовать API способом, который не использует openssl.cnf, возможно, используя собственную конфигурацию. Или использовать другой TLS, например gnutls или NSS.
По-прежнему хорошей идеей будет прочитать документацию, возможно, исходный код программного обеспечения, которое вы используете для любой конфигурации, связанной с TLS. Веб-серверы исторически раскрывали большую часть конфигурации протокола. Но они не единственное программное обеспечение, где TLS более тонкозернистый, чем включено и выключено.
Затем проверьте, можно ли согласовать меньший TLS во время захвата пакета. Существуют инструменты, которые могут помочь в этом.