web-dev-qa-db-ja.com

SSL接続で弱い暗号を無効にする

関数SSL_CTX_set_cipher_listを使用して、SSL接続でサポートされている暗号を設定しています。弱い暗号を無効にするためにSSL_CTX_set_cipher_listに渡す引数。

ALL:!ADH:!LOW:!EXP:!MD5:@STRENGTHを渡してみました

しかし、それは機能していないようです。

まだ有効になっている次の弱い暗号レポートを検出するための私のツール

 ** SSLv3:DES-CBC-SHA-ENABLED-WEAK56ビット** 
 
 ** TLSv1:DES-CBC-SHA-ENABLED-WEAK56ビット** 
 
 ** SSLv2:RC4-MD5-ENABLED-WEAK128ビット** 
 ** SSLv2:RC2-CBC-MD5-ENABLED-WEAK128ビット** 
 ** SSLv2:RC4-64-MD5-ENABLED-WEAK64ビット** 
 ** SSLv2:DES-CBC-MD5-ENABLED-WEAK56ビット** 
 ** SSLv2:EXP -RC4-MD5-ENABLED-WEAK40ビット** 
 ** SSLv2:EXP-RC2-CBC-MD5-ENABLED-WEAK40ビット** 
 ** SSLv2:DES-CBC3-MD5 -有効-弱い168ビット** 

上記の暗号を無効にするためにSSL_CTX_set_cipher_listに渡す引数は何ですか?

13
Ravi

HIGH:!DSS:!aNULL @ STRENGTHが機能するはずです。

openssl ciphers -v'HIGH:!DSS:!aNULL @ STRENGTH 'は、次の暗号のリストを出力します。

DHE-RSA-AES256-SHA      SSLv3 Kx=DH       Au=RSA  Enc=AES(256)  Mac=SHA1
AES256-SHA              SSLv3 Kx=RSA      Au=RSA  Enc=AES(256)  Mac=SHA1
EDH-RSA-DES-CBC3-SHA    SSLv3 Kx=DH       Au=RSA  Enc=3DES(168) Mac=SHA1
DES-CBC3-SHA            SSLv3 Kx=RSA      Au=RSA  Enc=3DES(168) Mac=SHA1
DES-CBC3-MD5            SSLv2 Kx=RSA      Au=RSA  Enc=3DES(168) Mac=MD5
DHE-RSA-AES128-SHA      SSLv3 Kx=DH       Au=RSA  Enc=AES(128)  Mac=SHA1
AES128-SHA              SSLv3 Kx=RSA      Au=RSA  Enc=AES(128)  Mac=SHA1

OpenSSL暗号文字列とその意味の完全なリストについては、以下を参照してください。 http://www.openssl.org/docs/apps/ciphers.html

12