web-dev-qa-db-ja.com

TLSv1.2は3DESをサポートしていますか

TLSv1.2を明示的に使用するようにopensslサーバーを構成するかどうか、3DESを使用しないように構成するか(文字列に「!3DES」を追加することにより)、TLSv1.2を明示的に使用すると削除されるかどうかを知りたいと思いました。 3DESのサポート。

this linkから、TLS1.2の使用可能な暗号リストに3DESがないことがわかります。だから私はそれがサポートしていないと思いますか?

私が使用している文字列は"HIGH+TLSv1.2:!MD5:!SHA1"

1
Haris

TLS 1.2は、SSL3.0以降で定義されている任意の暗号で使用できます。これには、3DES(DES-CBC3)暗号が含まれます。何 あなたが参照する は、どの暗号がどのSSL/TLSバージョンで使用できるかというリストではなく、どのSSL/TLSバージョンで暗号が導入されたかのリストです。

証明:

terminal_1 $ openssl s_server -cipher '3DES' -cert cert.pem -key key.pem
...
terminal_2 $ openssl s_client -connect 127.0.0.1:4433
...
Protocol  : TLSv1.2
Cipher    : ECDHE-RSA-DES-CBC3-SHA
...

より多くの証拠: TLS 1.2標準(RFC 5246) 付録A.5に、いくつかの3DES暗号を含むTLS1.2で使用可能な多くの暗号がリストされています。

私が使用している文字列は「HIGH + TLSv1.2:!MD5:!SHA1」です。

この暗号文字列を使用すると、TLS1.2で導入された暗号のみを許可できます。 TLS 1.2では新しい3DES暗号が追加されていないため、この文字列では3DES暗号は使用されません。ただし、提供する暗号はこれらの古いクライアントではサポートされていないため、TLS1.0またはTLS1.1クライアントはサーバーに接続できません。最新のブラウザはすべてTLS1.2をサポートしていますが、一部のアプリケーションはまだサポートしていません。これは、特に古いJavaアプリケーションまたはMacOS X上のOpenSSLベースのアプリケーションに当てはまります。これは、非常に古いバージョンのOpenSSLで出荷されているためです。

4
Steffen Ullrich