我被要求在我的一台 Centos 機器上全域禁用所有 SSL 和 TLS < TLS 1.2。有人建議我應該能夠在 openssl 庫中執行此操作。
我對 SSL/TLS、密碼套件等相當熟悉,但我看不到如何在 openssl.cnf 中執行此操作。我找到的文件很清楚如何為 Apache 執行此操作,或者如何限制應用程式中的可用協定版本,但這不是我想要的。我沒有運行網頁伺服器。
如果沒有修改來源來過濾密碼套件和協議,然後重建,有沒有辦法做到這一點?
答案1
MinProtocol設定檔中的 OpenSSL 相對較新,我認為是 1.1.1。
然而,TLS 比這更混亂,這不是一個簡單的答案。 OpenSSLMinProtocol僅適用於相對較新的發行版本,例如 EL8。應用程式可以以不使用 openssl.cnf 的方式使用 API,可能使用自己的配置。或使用不同的 TLS,例如 gnutls 或 NSS。
閱讀用於任何 TLS 相關配置的軟體的文件(也許是原始碼)仍然是一個好主意。 Web 伺服器歷史上暴露了更多的協定配置。但它們並不是唯一 TLS 比開啟和關閉更細粒度的軟體。
然後測試在資料包擷取期間是否可以協商較小的 TLS。存在可以幫助解決此問題的工具。