如何在 OpenSSL 配置中阻止 OpenSSL 支持的密码?

如何在 OpenSSL 配置中阻止 OpenSSL 支持的密码?

有没有办法在 OpenSSL 配置中阻止 OpenSSL 支持的密码套件,而不是在 Apache 中创建:

SSLCipherSuite HIGH:!aNULL:@STTRENGTH

答案1

您可以用来openssl s_client --help获取有关要使用的协议的一些信息:

-ssl2 - just use SSLv2 -ssl3 - just use SSLv3 -tls1_2 - just use TLSv1.2 -tls1_1 - just use TLSv1.1 -tls1 - just use TLSv1 -dtls1 - just use DTLSv1

它还提到了 -ciphers:

-cipher - preferred cipher to use, use the 'openssl ciphers' command to see what is available

openssl ciphers 为您提供了列表。简而言之,是的,您应该能够从客户端使用固定协议和密码。

答案2

我认为没有一种方法(通过配置)来禁用所有使用 openssl 加密库的程序的各种密码。

但是,您应该能够重新编译自己的 openssl 库,设置一些命令行开关来执行相同的操作。根据 OpenSSL维基百科您可以检查ssl_algs.c开关:

    ...
#ifndef OPENSSL_NO_DES
    EVP_add_cipher(EVP_des_cbc());
    EVP_add_cipher(EVP_des_ede3_cbc());
#endif
#ifndef OPENSSL_NO_IDEA
    EVP_add_cipher(EVP_idea_cbc());
#endif
    ...

相关内容