我有一个 openldap 服务器,我正在尝试调整我的TLSCipherSuite设置以使其尽可能安全。
请不要批评我的实际安全设置。请帮助我了解正在发生的事情。
我正在编辑/etc/openldap/slapd.conf文件,并使用slaptest将该文件转换为/etc/openldap/slapd.d配置目录。我正在使用sslscan列出可用的密码。
我开始
TLSCipherSuite HIGH:MEDIUM:-SSLv2:+SSLv3
并sslscan告诉我
$ sslscan --no-failed hostname:636 | grep Accepted
Accepted SSLv3 256 bits DHE-RSA-AES256-SHA
Accepted SSLv3 256 bits DHE-RSA-CAMELLIA256-SHA
Accepted SSLv3 256 bits AES256-SHA
Accepted SSLv3 256 bits CAMELLIA256-SHA
[...]
Accepted TLS12 112 bits DES-CBC3-SHA
Accepted TLS12 112 bits ECDHE-RSA-RC4-SHA
Accepted TLS12 112 bits RC4-SHA
Accepted TLS12 112 bits RC4-MD5
$ sslscan --no-failed hostname:636 | grep Accepted | wc -l
72
从那里,我拿出了MEDIUM
TLSCipherSuite HIGH:-SSLv2:+SSLv3
$ sslscan --no-failed hostname:636 | grep Accepted | wc -l
57
好多了。然后我尝试删除 SHA1,这时我完全糊涂了。
TLSCipherSuite HIGH:-SSLv2:+SSLv3:-SHA
$ sslscan --no-failed hostname:636 | grep Accepted | wc -l
91
$ sslscan --no-failed hostname:636 | grep Accepted
[...]
Accepted TLS12 112 bits RC4-SHA
Accepted TLS12 112 bits RC4-MD5
Accepted TLS12 56 bits EDH-RSA-DES-CBC-SHA
Accepted TLS12 56 bits DES-CBC-SHA
Accepted TLS12 0 bits ECDHE-RSA-NULL-SHA
Accepted TLS12 0 bits NULL-SHA
Accepted TLS12 0 bits NULL-MD5
所以我的问题是......这里发生了什么,我试图消除我接受列表中的一些密码,相反,我添加一堆?我做错了什么?
再次强调,请不要批评我的实际安全设置。请帮助我了解发生了什么。