호환성상의 이유로 최신 openssl 1.0.1t가 설치된 debian 7 서버에서 3DES 암호를 활성화하라는 요청을 받았습니다.
마침내 문제를 발견했습니다. 사이트는 TLS에서만 작동하며 Debian 7의 openssl 1.0.1t는 TLS에 대한 3DES 암호를 지원하지 않는 것 같습니다.
-#openssl ciphers -v 'ALL:COMPLEMENTOFALL' | grep DES
ECDHE-RSA-DES-CBC3-SHA SSLv3 Kx=ECDH Au=RSA Enc=3DES(168) Mac=SHA1
ECDHE-ECDSA-DES-CBC3-SHA SSLv3 Kx=ECDH Au=ECDSA Enc=3DES(168) Mac=SHA1
SRP-DSS-3DES-EDE-CBC-SHA SSLv3 Kx=SRP Au=DSS Enc=3DES(168) Mac=SHA1
SRP-RSA-3DES-EDE-CBC-SHA SSLv3 Kx=SRP Au=RSA Enc=3DES(168) Mac=SHA1
SRP-3DES-EDE-CBC-SHA SSLv3 Kx=SRP Au=SRP Enc=3DES(168) Mac=SHA1
EDH-RSA-DES-CBC3-SHA SSLv3 Kx=DH Au=RSA Enc=3DES(168) Mac=SHA1
EDH-DSS-DES-CBC3-SHA SSLv3 Kx=DH Au=DSS Enc=3DES(168) Mac=SHA1
AECDH-DES-CBC3-SHA SSLv3 Kx=ECDH Au=None Enc=3DES(168) Mac=SHA1
ADH-DES-CBC3-SHA SSLv3 Kx=DH Au=None Enc=3DES(168) Mac=SHA1
ECDH-RSA-DES-CBC3-SHA SSLv3 Kx=ECDH/RSA Au=ECDH Enc=3DES(168) Mac=SHA1
ECDH-ECDSA-DES-CBC3-SHA SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=3DES(168) Mac=SHA1
DES-CBC3-SHA SSLv3 Kx=RSA Au=RSA Enc=3DES(168) Mac=SHA1
PSK-3DES-EDE-CBC-SHA SSLv3 Kx=PSK Au=PSK Enc=3DES(168) Mac=SHA1
이 비밀번호를 활성화하는 방법을 알고 있나요? 아니면 SSL 패키지의 컴파일 옵션인가요? 인터넷에서 정답을 찾을 수 없습니다.
감사해요.
편집 1 구성할 애플리케이션은 apache2입니다.
-# apache2 -v
Server version: Apache/2.2.22 (Debian)
Server built: Jul 20 2016 05:07:11
답변1
TLDR: 예, 지원되며 활성화될 수 있습니다.
SSLv3입력의 출력은 ciphers -v다음과 같습니다.최저 한도에서암호 제품군이 작동하는 프로토콜입니다. 1.0.1 이상에서는 TLSv1.0, TLSv1.1 및 TLSv1.2도 원래 SSLv3에 정의된 모든 암호화 제품군을 지원하고 허용하지만 SSLv3을 사용해서는 안 됩니다.규약전적으로 POODLE(및 RC4) 덕분입니다.
여기에는 이전에 공식적으로 제거된 4346개와 더 이상 사용되지 않는 5246개의 내보낸 단일 DES 제품군이 포함되었지만 최근 1.0.1 및 1.0.2 패치에서는 이러한 제품군을 완전히 제거했습니다(현명하지 않게 사용된 경우 TLSv1.0 및 SSLv3도 포함). 기본 빌드. 마찬가지로 IDEA는 5246에서 더 이상 사용되지 않지만 모든 프로토콜에서 여전히 사용할 수 있습니다. 이와 대조적으로 AEAD 및 SHA2 암호화 제품군은 TLSv1.2에서만 지원되고 하위 버전은 지원되지 않지만 3DES 암호화 제품군에는 AEAD 또는 SHA2가 없습니다.
업스트림 DEFAULT암호 목록은 익명이 아닌 모든 3DES 암호 제품군을 활성화하므로 데비안에서 이를 변경하지 않는 한 구성할 필요도 없습니다.
이는 본질적으로 동일합니다.security.SX에 대한 나의 답변
답변2
Apache구성 파일을 편집하고 원하는 암호화 제품군을 추가 해야 합니다 SSLCipherSuite.
이것을 봐주세요이것아파치를 작동하는 방법.