有没有办法在 OpenSSL 配置中阻止 OpenSSL 支持的密码套件,而不是在 Apache 中创建:
SSLCipherSuite HIGH:!aNULL:@STTRENGTH
?
答案1
您可以用来openssl s_client --help
获取有关要使用的协议的一些信息:
-ssl2 - just use SSLv2 -ssl3 - just use SSLv3 -tls1_2 - just use TLSv1.2 -tls1_1 - just use TLSv1.1 -tls1 - just use TLSv1 -dtls1 - just use DTLSv1
它还提到了 -ciphers:
-cipher - preferred cipher to use, use the 'openssl ciphers' command to see what is available
openssl ciphers 为您提供了列表。简而言之,是的,您应该能够从客户端使用固定协议和密码。
答案2
我认为没有一种方法(通过配置)来禁用所有使用 openssl 加密库的程序的各种密码。
但是,您应该能够重新编译自己的 openssl 库,设置一些命令行开关来执行相同的操作。根据 OpenSSL维基百科您可以检查ssl_algs.c
开关:
...
#ifndef OPENSSL_NO_DES
EVP_add_cipher(EVP_des_cbc());
EVP_add_cipher(EVP_des_ede3_cbc());
#endif
#ifndef OPENSSL_NO_IDEA
EVP_add_cipher(EVP_idea_cbc());
#endif
...