Apache에서 암호화 제품군을 생성하는 대신 OpenSSL 구성에서 OpenSSL 지원 암호화 제품군을 방지하는 방법이 있습니까?
SSLCipherSuite HIGH:!aNULL:@STTRENGTH
?
답변1
이를 사용하여 openssl s_client --help사용할 프로토콜에 대한 일부 정보를 얻을 수 있습니다.
-ssl2 - just use SSLv2 -ssl3 - just use SSLv3 -tls1_2 - just use TLSv1.2 -tls1_1 - just use TLSv1.1 -tls1 - just use TLSv1 -dtls1 - just use DTLSv1
또한 -ciphers에 대해서도 언급합니다.
-cipher - preferred cipher to use, use the 'openssl ciphers' command to see what is available
openssl ciphers는 목록을 제공합니다. 즉, 그렇습니다. 클라이언트에서 고정 프로토콜과 암호를 사용할 수 있어야 합니다.
답변2
openssl 암호화 라이브러리를 사용하는 모든 프로그램에 대해 다양한 암호를 비활성화하는 방법(구성을 통해)이 없다고 생각합니다.
그러나 자신의 openssl 라이브러리를 다시 컴파일하고 동일한 작업을 수행하도록 일부 명령줄 스위치를 설정할 수 있어야 합니다. OpenSSL에 따르면위키피디아ssl_algs.c스위치를 확인할 수 있습니다 .
...
#ifndef OPENSSL_NO_DES
EVP_add_cipher(EVP_des_cbc());
EVP_add_cipher(EVP_des_ede3_cbc());
#endif
#ifndef OPENSSL_NO_IDEA
EVP_add_cipher(EVP_idea_cbc());
#endif
...