Включить 3DES-шифр для openssl 1.0.1t на Debian 7

tag-icon tag-icon debian openssl
Включить 3DES-шифр для openssl 1.0.1t на Debian 7

Меня попросили включить 3DES-шифр для совместимости на сервере Debian 7 с обновленным openssl 1.0.1t.
Я наконец выяснил, в чем проблема, сайт работает только с TLS, и похоже, что openssl 1.0.1t на Debian 7 не поддерживает 3DES-шифр для TLS:

-#openssl ciphers -v 'ALL:COMPLEMENTOFALL' | grep DES
ECDHE-RSA-DES-CBC3-SHA  SSLv3 Kx=ECDH     Au=RSA  Enc=3DES(168) Mac=SHA1
ECDHE-ECDSA-DES-CBC3-SHA SSLv3 Kx=ECDH     Au=ECDSA Enc=3DES(168) Mac=SHA1
SRP-DSS-3DES-EDE-CBC-SHA SSLv3 Kx=SRP      Au=DSS  Enc=3DES(168) Mac=SHA1
SRP-RSA-3DES-EDE-CBC-SHA SSLv3 Kx=SRP      Au=RSA  Enc=3DES(168) Mac=SHA1
SRP-3DES-EDE-CBC-SHA    SSLv3 Kx=SRP      Au=SRP  Enc=3DES(168) Mac=SHA1
EDH-RSA-DES-CBC3-SHA    SSLv3 Kx=DH       Au=RSA  Enc=3DES(168) Mac=SHA1
EDH-DSS-DES-CBC3-SHA    SSLv3 Kx=DH       Au=DSS  Enc=3DES(168) Mac=SHA1
AECDH-DES-CBC3-SHA      SSLv3 Kx=ECDH     Au=None Enc=3DES(168) Mac=SHA1
ADH-DES-CBC3-SHA        SSLv3 Kx=DH       Au=None Enc=3DES(168) Mac=SHA1
ECDH-RSA-DES-CBC3-SHA   SSLv3 Kx=ECDH/RSA Au=ECDH Enc=3DES(168) Mac=SHA1
ECDH-ECDSA-DES-CBC3-SHA SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=3DES(168) Mac=SHA1
DES-CBC3-SHA            SSLv3 Kx=RSA      Au=RSA  Enc=3DES(168) Mac=SHA1
PSK-3DES-EDE-CBC-SHA    SSLv3 Kx=PSK      Au=PSK  Enc=3DES(168) Mac=SHA1

Знаете ли вы способ включить этот шифр или это опция компиляции пакета SSL, я не смог найти правильный ответ в Интернете.
Спасибо.

Редактировать 1 Приложение для настройки — apache2:

-# apache2 -v
Server version: Apache/2.2.22 (Debian)
Server built:   Jul 20 2016 05:07:11

решение1

TLDR: да, они поддерживаются и, вероятно, включены.

На SSLv3выходе ciphers -vполучаетсяминимумпротокол, в котором работает набор шифров. В версии 1.0.1 и выше все наборы шифров, изначально определенные в или для SSLv3, также поддерживаются и разрешены в TLSv1.0 TLSv1.1 и TLSv1.2, хотя вы не должны использовать SSLv3протоколвообще из-за ПУДЕЛЯ (и RC4).

Раньше это включало экспорт и одиночные DES-наборы, которые были официально удалены 4346 и объявлены устаревшими 5246 соответственно, но недавние исправления 1.0.1 и 1.0.2 полностью удалили их (даже для TLSv1.0 и SSLv3, если они использовались неразумно) из сборки по умолчанию. Аналогично IDEA остается применимой во всех протоколах, несмотря на то, что 5246 объявила ее устаревшей. Напротив, шифронаборы AEAD и SHA2 поддерживаются только в TLSv1.2 и не ниже, но ни один шифронабор 3DES не является ни AEAD, ни SHA2.

Список шифров восходящей ветки DEFAULTвключает все неанонимные наборы шифров 3DES, поэтому даже настройка не потребуется, если только Debian не изменил это.

По сути это то же самое, чтоэтот мой ответ по безопасности.SX

решение2

Вам необходимо отредактировать Apacheфайл конфигурации и добавить в него нужный вам набор шифров SSLCipherSuite.

Пожалуйста, посмотрите наэтоткак использовать Apache.

Связанный контент