Apacheで暗号スイートを作成する代わりに、OpenSSL設定でOpenSSL対応の暗号スイートを回避する方法はありますか?
SSLCipherSuite HIGH:!aNULL:@STTRENGTH
?
答え1
これを使用して、openssl s_client --help
使用するプロトコルに関するいくつかの情報を取得できます。
-ssl2 - just use SSLv2 -ssl3 - just use SSLv3 -tls1_2 - just use TLSv1.2 -tls1_1 - just use TLSv1.1 -tls1 - just use TLSv1 -dtls1 - just use DTLSv1
また、-ciphersについても言及します。
-cipher - preferred cipher to use, use the 'openssl ciphers' command to see what is available
openssl ciphersはリストを提供します。つまり、そうです。クライアントで固定プロトコルとパスワードを使用できる必要があります。
答え2
openssl暗号化ライブラリを使用するすべてのプログラムに対して、さまざまなパスワードを無効にする方法(設定を通じて)がないと思います。
ただし、独自のopensslライブラリを再コンパイルし、同じ操作を実行するようにいくつかのコマンドラインスイッチを設定できる必要があります。 OpenSSLによるとウィキペディアssl_algs.c
スイッチを確認できます。
...
#ifndef OPENSSL_NO_DES
EVP_add_cipher(EVP_des_cbc());
EVP_add_cipher(EVP_des_ede3_cbc());
#endif
#ifndef OPENSSL_NO_IDEA
EVP_add_cipher(EVP_idea_cbc());
#endif
...