出于兼容性原因,我被要求在具有最新 openssl 1.0.1t 的 debian 7 服务器上启用 3DES 密码。
我终于找到了问题所在,该网站仅适用于 TLS,并且 Debian 7 上的 openssl 1.0.1t 似乎不支持 TLS 的 3DES 密码:
-#openssl ciphers -v 'ALL:COMPLEMENTOFALL' | grep DES
ECDHE-RSA-DES-CBC3-SHA SSLv3 Kx=ECDH Au=RSA Enc=3DES(168) Mac=SHA1
ECDHE-ECDSA-DES-CBC3-SHA SSLv3 Kx=ECDH Au=ECDSA Enc=3DES(168) Mac=SHA1
SRP-DSS-3DES-EDE-CBC-SHA SSLv3 Kx=SRP Au=DSS Enc=3DES(168) Mac=SHA1
SRP-RSA-3DES-EDE-CBC-SHA SSLv3 Kx=SRP Au=RSA Enc=3DES(168) Mac=SHA1
SRP-3DES-EDE-CBC-SHA SSLv3 Kx=SRP Au=SRP Enc=3DES(168) Mac=SHA1
EDH-RSA-DES-CBC3-SHA SSLv3 Kx=DH Au=RSA Enc=3DES(168) Mac=SHA1
EDH-DSS-DES-CBC3-SHA SSLv3 Kx=DH Au=DSS Enc=3DES(168) Mac=SHA1
AECDH-DES-CBC3-SHA SSLv3 Kx=ECDH Au=None Enc=3DES(168) Mac=SHA1
ADH-DES-CBC3-SHA SSLv3 Kx=DH Au=None Enc=3DES(168) Mac=SHA1
ECDH-RSA-DES-CBC3-SHA SSLv3 Kx=ECDH/RSA Au=ECDH Enc=3DES(168) Mac=SHA1
ECDH-ECDSA-DES-CBC3-SHA SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=3DES(168) Mac=SHA1
DES-CBC3-SHA SSLv3 Kx=RSA Au=RSA Enc=3DES(168) Mac=SHA1
PSK-3DES-EDE-CBC-SHA SSLv3 Kx=PSK Au=PSK Enc=3DES(168) Mac=SHA1
您知道启用此密码的方法吗?或者它是 SSL 包的编译选项吗?我在互联网上找不到正确的答案。
谢谢。
编辑1 要配置的应用程序是 apache2:
-# apache2 -v
Server version: Apache/2.2.22 (Debian)
Server built: Jul 20 2016 05:07:11
答案1
TLDR:是的,它们受到支持,并且可能已启用
SSLv3输入的输出ciphers -v是最低限度密码套件工作的协议。在 1.0.1 及更高版本中,TLSv1.0、TLSv1.1 和 TLSv1.2 也支持和允许最初在 SSLv3 中定义或为 SSLv3 定义的所有密码套件,但您不应使用 SSLv3协议完全是由于 POODLE(和 RC4)。
这以前包括分别被 4346 正式删除和 5246 弃用的导出和单 DES 套件,但最近的 1.0.1 和 1.0.2 补丁完全删除了这些套件(如果使用不明智,即使是 TLSv1.0 和 SSLv3)。默认构建。同样,IDEA 在所有协议中仍然可用,尽管 5246 已弃用它。相比之下,AEAD 和 SHA2 密码套件仅在 TLSv1.2 中受支持,而不是更低版本,但 3DES 密码套件中没有 AEAD 或 SHA2。
上游DEFAULT密码列表启用所有非匿名 3DES 密码套件,因此除非 Debian 对此进行了更改,否则甚至不需要配置。
这本质上是相同的我对 security.SX 的回答
答案2
您必须编辑Apache配置文件并添加您想要的密码套件SSLCipherSuite。
请看一下这阿帕奇操作方法。