我被要求在我的一台 Centos 機器上全域禁用所有 SSL 和 TLS < TLS 1.2。有人建議我應該能夠在 openssl 庫中執行此操作。
我對 SSL/TLS、密碼套件等相當熟悉,但我看不到如何在 openssl.cnf 中執行此操作。我找到的文件很清楚如何為 Apache 執行此操作,或者如何限制應用程式中的可用協定版本,但這不是我想要的。我沒有運行網頁伺服器。
如果沒有修改來源來過濾密碼套件和協議,然後重建,有沒有辦法做到這一點?
答案1
openssl.cnf僅配置一些用於產生和管理憑證的命令列工具。因此,它對底層庫沒有任何作用。
你說:
我沒有運行網頁伺服器
你正在運行什麼,這引起了關注?如果你什麼都不運行,那麼你就沒有什麼好擔心的。如果您正在運行某些內容,請將該應用程式設定為不使用這些協定或密碼套件。
另請記住,並非所有應用程式都使用 OpenSSL 來實現這些功能 - 有些應用程式可能會使用 GnuTLS或其他。
你是對的——如果不修補原始碼,就無法全域禁用這些協定。