OpenSSLを使用して、TLSクライアントで、SSL_CTX_SET_CIPHER_LIST()を持つ固有の暗号スイートを指定しました。
WireSharkを使用してメッセージを調べると、クライアントhelloメッセージで表示されます。許可されている暗号スイートは、私が指定したものです。
しかし、拡張子:署名アルゴリズムを見ると、MD5のように、私にとって非常に安全ではないように見えないいくつかを含む、クライアントが多数のAlGoを受け入れるように思われることがわかります。
この動作を変更するにはどうすればいいですか?
(他の何かを研究していることがわかりました。私はセキュリティかどうかわからない、あるいはそれでさえもよくなるでしょう。)
リリース1.0.2で(のみ)これには新しいSSL_[CTX_]set1[_client]_sigalgs[_list]
があります。私はまだドキュメントを見たことがありませんが、それは明らかにウェブサイトの "Master"(すなわち開発 "トランク")にあります https://www.openssl.org/docs/manmaster/ssl /ssl_ctx_set1_sigalgs.html =これは将来のリリースになります。
以前のバージョンでは、検証コールバックを設定したり、結果チェーンを確認したり、MD5、またはRSA <= 1024、またはNSAバックドアの疑いのある曲線を使用してECCを使用して、任意の証明書またはチェーンを拒否することができます。 「猫が嫌い」と言うCAポリシーなど、嫌いです。