互換性の理由から、最新のopenssl 1.0.1tがインストールされているdebian 7サーバーで3DESパスワードを有効にするように求められました。
ついに問題が見つかりました。サイトはTLSでのみ動作し、Debian 7のopenssl 1.0.1tはTLSの3DESパスワードをサポートしていないようです。
-#openssl ciphers -v 'ALL:COMPLEMENTOFALL' | grep DES
ECDHE-RSA-DES-CBC3-SHA SSLv3 Kx=ECDH Au=RSA Enc=3DES(168) Mac=SHA1
ECDHE-ECDSA-DES-CBC3-SHA SSLv3 Kx=ECDH Au=ECDSA Enc=3DES(168) Mac=SHA1
SRP-DSS-3DES-EDE-CBC-SHA SSLv3 Kx=SRP Au=DSS Enc=3DES(168) Mac=SHA1
SRP-RSA-3DES-EDE-CBC-SHA SSLv3 Kx=SRP Au=RSA Enc=3DES(168) Mac=SHA1
SRP-3DES-EDE-CBC-SHA SSLv3 Kx=SRP Au=SRP Enc=3DES(168) Mac=SHA1
EDH-RSA-DES-CBC3-SHA SSLv3 Kx=DH Au=RSA Enc=3DES(168) Mac=SHA1
EDH-DSS-DES-CBC3-SHA SSLv3 Kx=DH Au=DSS Enc=3DES(168) Mac=SHA1
AECDH-DES-CBC3-SHA SSLv3 Kx=ECDH Au=None Enc=3DES(168) Mac=SHA1
ADH-DES-CBC3-SHA SSLv3 Kx=DH Au=None Enc=3DES(168) Mac=SHA1
ECDH-RSA-DES-CBC3-SHA SSLv3 Kx=ECDH/RSA Au=ECDH Enc=3DES(168) Mac=SHA1
ECDH-ECDSA-DES-CBC3-SHA SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=3DES(168) Mac=SHA1
DES-CBC3-SHA SSLv3 Kx=RSA Au=RSA Enc=3DES(168) Mac=SHA1
PSK-3DES-EDE-CBC-SHA SSLv3 Kx=PSK Au=PSK Enc=3DES(168) Mac=SHA1
このパスワードを有効にする方法を知っていますか?それともSSLパッケージのコンパイルオプションですか?インターネットで正解が見つかりません。
ありがとうございます。
編集1 構成するアプリケーションはapache2です。
-# apache2 -v
Server version: Apache/2.2.22 (Debian)
Server built: Jul 20 2016 05:07:11
ベストアンサー1
TLDR:はい、サポートされており、有効にすることができます。
SSLv3入力の出力はciphers -v次のとおりです。最低限度で暗号スイートが動作するプロトコルです。 1.0.1以降では、TLSv1.0、TLSv1.1、およびTLSv1.2は、もともとSSLv3で定義されているすべての暗号スイートをサポートおよび許可しますが、SSLv3を使用しないでください。規約完全にPOODLE(およびRC4)のおかげです。
これには、以前に正式に削除された4346個と廃止された5246個のエクスポートされた単一のDESファミリが含まれていましたが、最近の1.0.1および1.0.2パッチではこれらのファミリを完全に削除しました(賢明に使用されていない場合はTLSv1)。 0 と SSLv3 も含む)。基本ビルド。同様に、IDEA は 5246 では使用されなくなりますが、すべてのプロトコルでまだ使用できます。対照的に、AEAD および SHA2 暗号スイートは TLSv1.2 でのみサポートされ、サブバージョンはサポートされませんが、3DES 暗号スイートには AEAD または SHA2 はありません。
アップDEFAULTストリームパスワードリストは、匿名以外のすべての3DES暗号スイートを有効にするため、Debianでこれを変更しない限り設定する必要はありません。
これは本質的に同じです。security.SXへの私の答え