Início / server / Perguntas / 918082
Accepted
Brad Parks
Asked: 2018-06-26 04:26:09 +0800 CST

OpenSSL - Desativar TLSv1 e certas cifras inseguras em todo o sistema?

  • 772

Sou novo na configuração do OpenSSL e estou tentando determinar se o OpenSSL pode ter o TLSv1 e certas cifras inseguras desabilitadas em todo o sistema de alguma forma no Linux, usando a configuração em todo o sistema ou compilações personalizadas do OpenSSL?

Pelo que li na web, parece que isso não pode ser feito no nível do sistema, mas apenas no nível do aplicativo, pois aplicativos como Apache e Nginx estão vinculados a uma versão específica do OpenSSL, que é configurada por a própria configuração do aplicativo.

Portanto, para desabilitar o TLSv1 no Apache, seria uma alteração na configuração do Apache, e para desabilitar o TLSv1 no Nginx, seria uma alteração na configuração do Nginx.

Minha pergunta é: uma versão personalizada do OpenSSL pode ser construída que desabilite o TLSv1 e cifras específicas, que são instaladas em todo o sistema e usadas pelo Apache e Nginx, bem como por qualquer aplicativo que precise do OpenSSL no sistema?

Mesmo que o Apache e o Nginx usassem versões diferentes do OpenSSL, duas versões separadas e personalizadas do OpenSSL poderiam ser criadas e implantadas no sistema que seria usado por esses aplicativos?

Estive revisando o OpenSSL Cookbook e o wiki do OpenSSL , mas sinto que gostaria de obter alguns conselhos sobre como proceder.

nginx

2 respostas

  1. Best Answer

    Minha pergunta é: pode ser criada uma versão personalizada do OpenSSL que desabilite o TLSv1 e cifras específicas, que são instaladas em todo o sistema e usadas pelo Apache e Ngnix e por quaisquer aplicativos que precisem do OpenSSL no sistema?

    Se estou entendendo sua pergunta corretamente, você deseja desabilitar o TLSv1 em tempo de compilação, portanto, openssl não oferecerá suporte ao protocolo. Se é isso que você procura, existem duas bandeiras que se aplicam, e esta é a descrição oficial :

    no-<prot>

Don't build support for negotiating the specified SSL/TLS
protocol (one of ssl, ssl3, tls, tls1, tls1_1, tls1_2,
tls1_3, dtls, dtls1 or dtls1_2). If "no-tls" is selected then
all of tls1, tls1_1, tls1_2 and tls1_3 are disabled.
Similarly "no-dtls" will disable dtls1 and dtls1_2. The
"no-ssl" option is synonymous with "no-ssl3". Note this only
affects version negotiation. OpenSSL will still provide the
methods for applications to explicitly select the individual
protocol versions.


no-<prot>-method

As for no-<prot> but in addition do not build the methods for
applications to explicitly select individual protocol
versions. Note that there is no "no-tls1_3-method" option
because there is no application method for TLSv1.3. Using
individual protocol methods directly is deprecated.
Applications should use TLS_method() instead.

    Você deve prestar atenção à nota final no sinalizador no-tls , que afirma que isso afeta apenas a negociação.

    • 4

  2. Infelizmente, você não pode garantir que os aplicativos parem de usar configurações inseguras com um arquivo de configuração de todo o sistema. O OpenSSL (e potencialmente todos os aplicativos que se vinculam a ele) precisam ser recompilados com o protocolo inseguro e as opções de criptografia desabilitadas.

    E se você bloqueou o OpenSSL, alguns aplicativos usam GnuTLS, NSS ou outra implementação.

    Portanto, se você deseja garantir que seus aplicativos usem uma configuração TLS sã, você deve usar arquivos de configuração específicos do aplicativo.

    Dito isto, o Redhat parece suportar arquivos de configuração de criptografia em todo o sistema no Fedora, que algum dia pode acabar no RHEL.

    • 2

relate perguntas