Debian 7 で openssl 1.0.1t の 3DES パスワードを有効にする

Debian 7 で openssl 1.0.1t の 3DES パスワードを有効にする

互換性の理由から、最新のopenssl 1.0.1tがインストールされているdebian 7サーバーで3DESパスワードを有効にするように求められました。
ついに問題が見つかりました。サイトはTLSでのみ動作し、Debian 7のopenssl 1.0.1tはTLSの3DESパスワードをサポートしていないようです。

-#openssl ciphers -v 'ALL:COMPLEMENTOFALL' | grep DES
ECDHE-RSA-DES-CBC3-SHA  SSLv3 Kx=ECDH     Au=RSA  Enc=3DES(168) Mac=SHA1
ECDHE-ECDSA-DES-CBC3-SHA SSLv3 Kx=ECDH     Au=ECDSA Enc=3DES(168) Mac=SHA1
SRP-DSS-3DES-EDE-CBC-SHA SSLv3 Kx=SRP      Au=DSS  Enc=3DES(168) Mac=SHA1
SRP-RSA-3DES-EDE-CBC-SHA SSLv3 Kx=SRP      Au=RSA  Enc=3DES(168) Mac=SHA1
SRP-3DES-EDE-CBC-SHA    SSLv3 Kx=SRP      Au=SRP  Enc=3DES(168) Mac=SHA1
EDH-RSA-DES-CBC3-SHA    SSLv3 Kx=DH       Au=RSA  Enc=3DES(168) Mac=SHA1
EDH-DSS-DES-CBC3-SHA    SSLv3 Kx=DH       Au=DSS  Enc=3DES(168) Mac=SHA1
AECDH-DES-CBC3-SHA      SSLv3 Kx=ECDH     Au=None Enc=3DES(168) Mac=SHA1
ADH-DES-CBC3-SHA        SSLv3 Kx=DH       Au=None Enc=3DES(168) Mac=SHA1
ECDH-RSA-DES-CBC3-SHA   SSLv3 Kx=ECDH/RSA Au=ECDH Enc=3DES(168) Mac=SHA1
ECDH-ECDSA-DES-CBC3-SHA SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=3DES(168) Mac=SHA1
DES-CBC3-SHA            SSLv3 Kx=RSA      Au=RSA  Enc=3DES(168) Mac=SHA1
PSK-3DES-EDE-CBC-SHA    SSLv3 Kx=PSK      Au=PSK  Enc=3DES(168) Mac=SHA1

このパスワードを有効にする方法を知っていますか?それともSSLパッケージのコンパイルオプションですか?インターネットで正解が見つかりません。
ありがとうございます。

編集1 構成するアプリケーションはapache2です。

-# apache2 -v
Server version: Apache/2.2.22 (Debian)
Server built:   Jul 20 2016 05:07:11

答え1

TLDR:はい、サポートされており、有効にすることができます。

SSLv3入力の出力はciphers -v次のとおりです。最低限度で暗号スイートが動作するプロトコルです。 1.0.1以降では、TLSv1.0、TLSv1.1、およびTLSv1.2は、もともとSSLv3で定義されているすべての暗号スイートをサポートおよび許可しますが、SSLv3を使用しないでください。規約完全にPOODLE(およびRC4)のおかげです。

これには、以前に正式に削除された4346個と廃止された5246個のエクスポートされた単一のDESファミリが含まれていましたが、最近の1.0.1および1.0.2パッチではこれらのファミリを完全に削除しました(賢明に使用されていない場合はTLSv1)。 0 と SSLv3 も含む)。基本ビルド。同様に、IDEA は 5246 では使用されなくなりますが、すべてのプロトコルでまだ使用できます。対照的に、AEAD および SHA2 暗号スイートは TLSv1.2 でのみサポートされ、サブバージョンはサポートされませんが、3DES 暗号スイートには AEAD または SHA2 はありません。

アップDEFAULTストリームパスワードリストは、匿名以外のすべての3DES暗号スイートを有効にするため、Debianでこれを変更しない限り設定する必要はありません。

これは本質的に同じです。security.SXへの私の答え

答え2

Apache設定ファイルを編集し、必要な暗号スイートを追加する必要がありますSSLCipherSuite

これを見てくださいこれApacheを操作する方法。

関連情報