有人要求我在一台 Centos 机器上全局禁用所有 SSL 和 TLS < TLS 1.2。有人建议我可以在 openssl 库中执行此操作。
我对 SSL/TLS、密码套件等相当熟悉,但我不知道如何在 openssl.cnf 中执行此操作。我找到的文档清楚地说明了如何为 Apache 执行此操作,或者如何限制应用程序中可用的协议版本,但这不是我想要的。我没有运行 Web 服务器。
除了修改源来过滤密码套件和协议,然后重建之外,还有其他方法可以做到这一点吗?
答案1
openssl.cnf仅配置用于生成和管理证书的一些命令行工具。因此,它对底层库没有任何作用。
你说:
我没有运行网络服务器
您正在运行什么,这会引起担忧?如果您什么都没运行,那么您就没什么可担心的。如果您正在运行某个程序,请将该应用程序配置为不使用这些协议或密码套件。
还请记住,并非所有应用程序都使用 OpenSSL 来实现这些功能 - 有些应用程序可能使用 GnuTLS或其他。
你是对的 - 除非修补源,否则无法全局禁用这些协议。