出於相容性原因,我被要求在具有最新 openssl 1.0.1t 的 debian 7 伺服器上啟用 3DES 密碼。
我終於找到了問題,該網站僅適用於 TLS,並且 Debian 7 上的 openssl 1.0.1t 似乎不支援 TLS 的 3DES 密碼:
-#openssl ciphers -v 'ALL:COMPLEMENTOFALL' | grep DES
ECDHE-RSA-DES-CBC3-SHA SSLv3 Kx=ECDH Au=RSA Enc=3DES(168) Mac=SHA1
ECDHE-ECDSA-DES-CBC3-SHA SSLv3 Kx=ECDH Au=ECDSA Enc=3DES(168) Mac=SHA1
SRP-DSS-3DES-EDE-CBC-SHA SSLv3 Kx=SRP Au=DSS Enc=3DES(168) Mac=SHA1
SRP-RSA-3DES-EDE-CBC-SHA SSLv3 Kx=SRP Au=RSA Enc=3DES(168) Mac=SHA1
SRP-3DES-EDE-CBC-SHA SSLv3 Kx=SRP Au=SRP Enc=3DES(168) Mac=SHA1
EDH-RSA-DES-CBC3-SHA SSLv3 Kx=DH Au=RSA Enc=3DES(168) Mac=SHA1
EDH-DSS-DES-CBC3-SHA SSLv3 Kx=DH Au=DSS Enc=3DES(168) Mac=SHA1
AECDH-DES-CBC3-SHA SSLv3 Kx=ECDH Au=None Enc=3DES(168) Mac=SHA1
ADH-DES-CBC3-SHA SSLv3 Kx=DH Au=None Enc=3DES(168) Mac=SHA1
ECDH-RSA-DES-CBC3-SHA SSLv3 Kx=ECDH/RSA Au=ECDH Enc=3DES(168) Mac=SHA1
ECDH-ECDSA-DES-CBC3-SHA SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=3DES(168) Mac=SHA1
DES-CBC3-SHA SSLv3 Kx=RSA Au=RSA Enc=3DES(168) Mac=SHA1
PSK-3DES-EDE-CBC-SHA SSLv3 Kx=PSK Au=PSK Enc=3DES(168) Mac=SHA1
您知道啟用此密碼的方法嗎?
謝謝。
編輯1 要設定的應用程式是 apache2:
-# apache2 -v
Server version: Apache/2.2.22 (Debian)
Server built: Jul 20 2016 05:07:11
答案1
TLDR:是的,它們受到支持,並且可能已啟用
SSLv3輸入的輸出ciphers -v是最低限度密碼套件工作的協定。在 1.0.1 及更高版本中,TLSv1.0、TLSv1.1 和 TLSv1.2 也支援並允許最初在 SSLv3 中定義或為 SSLv3 定義的所有密碼套件,但您不應使用 SSLv3協定完全是由於 POODLE(和 RC4)。
這以前包括分別被 4346 正式刪除和 5246 棄用的導出和單 DES 套件,但最近的 1.0.1 和 1.0.2 補丁完全刪除了這些套件(如果使用不明智,即使是 TLSv1.0 和 SSLv3)。預設建置。同樣,IDEA 在所有協定中仍然可用,儘管 5246 已棄用它。相較之下,AEAD 和 SHA2 密碼套件僅在 TLSv1.2 中受支持,而不是更低版本,但 3DES 密碼套件均不是 AEAD 或 SHA2。
上游DEFAULT密碼清單啟用所有非匿名 3DES 密碼套件,因此甚至不需要配置,除非 Debian 對此進行了更改。
這本質上是相同的我對 security.SX 的回答
答案2
您必須編輯Apache設定檔並新增您想要的密碼套件SSLCipherSuite。
請看一下這阿帕奇操作方法。