いくつかの古い脆弱性をテストするために、Apacheでパスワードグループのエクスポートを有効にしたいと思います。今まで成功していませんでした。助けてくれてありがとう。
私の設定は次のとおりです。
Apache and mod_ssl 2.2.15
OpenSSL 1.0.1a
私が知っている限り、上記のバージョンはこれらの古い暗号スイートを「サポート」するのに十分なほど古いものです。
関連内容は次のとおりです/etc/httpd/conf.d/ssl.conf。
SSLprotocol all
SSLCipherSuite DEFAULT:+EXP
パスワードのコレクションをエクスポートするには、上記のすべてが必要だと思いますが、スクリプトをnmap ssl-enum-ciphers.se実行してもEXPパスワードのコレクションは表示されません。 「LOW」のように変更するとSSLCipherSuite適用されます。httpd変更後、サービスを再起動しました。
また、を実行してこれを確認しましたが、実際にエクスポート暗号化スイートがまだアクティブでないことを示すハンドシェイク失敗警告が表示さopenssl s_client -connect 127.0.0.1:443 -cipher EXPORTれます。sslv3
私がここで何を見逃しているのでしょうか?
答え1
注:m以前のアップストリームOpenSSL 1.0.1のデフォルトのパスワードリストにはEXPORT(2015年3月)が含まれ、s(2016年3月)には単一のDESのみを含むLOWでビルドから削除されました(基本リストはない)。ソースからビルドしていますか、それとも他の人のビルドやパッケージを使用していますか?ビルダーまたはパッケージャはアップストリームのデフォルト値を変更できます。さらに、RedHatとDebianベースのディストリビューションは内部バージョンを変更せずにセキュリティパッチをバックポートするため、これらのパッケージはバージョンをopenssl version確認する必要があるものを実際には伝えません。パック、openssl-1.0.1e-NN.elN
またはに似ていますopenssl-1.0.1e-N+debN。
OpenSSLパスワード文字列を使用しても+パスワードリストの内容は変わりません。終わり。たとえば、+RC4すでにリストにあるRC4キットは、選択される可能性が低いようにリストの最後に配置する必要があることを意味します。クライアントのデフォルト設定は、通常、サーバーに対して可能なパスワードのコレクションから選択されるパスワードのコレクションを制御するため、順序は通常クライアントにとって重要です。サーバーがクライアント設定を無視し、サーバー設定を使用するように構成されている場合にのみ重要です。
DEFAULT:EXPORT:!aNULL(省略可能DEFAULT:EXP:!aNULL)またはを指定する必要がありますALL:!aNULL。匿名、つまり非認証スイートを除外するため!aNULLに使用する必要がありますが(同様に)これを含めるか、特にWeb(HTTPS)の場合は使用しないでください。DEFAULTEXPORTLOW MEDIUM HIGHALL
コマンドラインを使用して、特定のopenssl ciphers [-v] $string文字列に対してビルドでどのパスワードが有効になっているかを確認できます。デフォルトの形式は1行に圧縮されており、tr : '\n'次のようにパイプしないと読みにくくなります。 (より良いIMO)-v各パスワードを別々の行に入力し、時には便利な(そうでない場合は見逃しやすい)詳細を追加してください。