désactiver la faiblesse des algorithmes de chiffrement de la connexion SSL
Je suis l'aide de la fonction SSL_CTX_set_cipher_list pour définir les algorithmes de chiffrement pris en charge pour la connexion SSL. Quel argument pour passer à SSL_CTX_set_cipher_list pour désactiver la faiblesse des algorithmes.
J'ai essayé en passant ALL:!ADH:!LOW:!EXP:!MD5:@STRENGTH
mais il ne semble pas fonctionner.
Mon outil pour détecter les faibles de chiffrement des rapports pour la suite, comme le permet encore
** SSLv3:DES-CBC-SHA - PERMIS - la FAIBLESSE des 56 bits ** ** TLSv1:DES-CBC-SHA - PERMIS - la FAIBLESSE des 56 bits ** ** SSLv2:RC4-MD5 - PERMIS - la FAIBLESSE de 128 bits ** ** SSLv2:RC2-CBC-MD5 - PERMIS - la FAIBLESSE de 128 bits ** ** SSLv2:RC4-64-MD5 - PERMIS - la FAIBLESSE de 64 bits ** ** SSLv2:DES-CBC-MD5 - PERMIS - la FAIBLESSE des 56 bits ** ** SSLv2:EXP-RC4-MD5 - PERMIS - la FAIBLESSE de 40 bits ** ** SSLv2:EXP-RC2-CBC-MD5 - PERMIS - la FAIBLESSE de 40 bits ** ** SSLv2:DES-CBC3-MD5 - PERMIS - la FAIBLESSE de 168 bits **
Quel argument pour passer à SSL_CTX_set_cipher_list pour désactiver le ci-dessus les algorithmes?
OriginalL'auteur Ravi | 2010-09-23
Vous devez vous connecter pour publier un commentaire.
HAUT:!DSS:!aNULL@FORCE devrait fonctionner.
openssl ciphers-v 'HIGH:!DSS:!aNULL@FORCE " imprime la liste suivante des algorithmes:
Pour une liste complète de chiffrement OpenSSL chaînes et de leur sens de prendre un coup d'oeil à: http://www.openssl.org/docs/apps/ciphers.html
Comment faire pour supprimer DES-CBC3-SHA la faiblesse de chiffrement?
Juste ajouter
:!DES-CBC3-SHA
pour le chiffrement de liste afin de la retirer.ok merci. J'ai ajouté !RCA-SHA:!DES-CBC3-SHA et cela a fonctionné.
MD5 est considéré comme faible dans la DES-CBC3-MD5 de chiffrement.
OriginalL'auteur Gerhard Schlager
Cela dépend de qui est la définition de la faiblesse que vous utilisez. En 2015, vous devez changer de manière efficace
HIGH:!aNULL
parce que les navigateurs modernes rejeter des algorithmes inclus avecHIGH
. Si vous le permettez MD5 et/ou RC4, alors vous obtenez la obsolète cryptographie avertissement.L'appel ressemble à:
Vous devez également désactiver SSLv2, SSLv3, et probablement de compression. Vous le faites comme suit:
SSL_CTX_set_options
ne retourne pas de valeur, donc il n'y a rien à l'épreuve pour s'assurer de l'appel réussit.Pas sûr de ce que vous voulez dire de la gigue. C'est ce qu'il est.
HIGH
est élevé, mais le son de quelqu'un d'autre définition. En 2014 et 2015, les navigateurs déplacé contre MD5, RC4, SHA1 et 1024 bits FF-crypto et SI-crypto. FF est Finite Fchamp (comme l'échange de clés Diffie-Hellman), et SI c'est Integer Factorization (comme le RSA).Je ne suis pas blâmer les autres pour rien. Je ne dis pas que tout est sécurisé ou non sécurisé. Je ne pense pas que nous pouvons faire cette détermination sur la base de termes comme "faible" et "forte" ou "très élevé"; au lieu de cela, nous aurions besoin d'un modèle de menace ou d'exigences. Encore une fois, je ne m'inquiète pas à propos de votre réponse, et je ne se soucient pas comment il se compare. Vous êtes libre de faire ce que vous voulez. Je n'ai pas la prétention d'être un expert, bien que je ne avoir une certaine expertise en la matière. Quel est le point de départ de toute cette randonnée?
OriginalL'auteur jww