从 openssl 中删除弱密码
Removing weak ciphers from openssl
我正在尝试从 openssl 密码套件列表中删除弱密码。当我 运行 'openssl ciphers -v' 时,我也看到了带有 SSLv3 和 TLSv1 的密码。我想避免弱密码并将密码列表限制为仅 TLSv1.2 和更高版本。
有什么方法可以通过更新 openssl.cnf 文件来实现。
我尝试了https://github.com/openssl/openssl/issues/7562 and https://www.openssl.org/docs/man1.1.1/man5/config.html
的方法
openssl_conf = default_conf
[default_conf]
ssl_conf = ssl_sect
[ssl_sect]
system_default = system_default_sect
[system_default_sect]
MinProtocol = TLSv1.2
使用上述配置,当我执行 运行 'openssl ciphers -v' 命令时,我希望只看到 TLSv1.2 和 TLSv1.3 密码,但我没有看到列出的密码有任何变化,所有弱密码也都是目前。
我们可以通过从 openssl 代码中删除它们并构建和安装来限制密码套件列表。如果有其他更简单的方法,请提出建议。
来自 openssl 手册页 - https://www.openssl.org/docs/man1.1.1/man5/config.html,有这样的声明 'The system default configuration with name system_default if present will be applied during any creation of the SSL_CTX structure.'
也就是说,这些 openssl.conf 更改是否仅适用于证书文件生成而不适用于 openssl 执行?
感谢任何帮助或澄清我的理解。
我们可以通过更改 openssl.cnf 文件来获得所需的密码。
在文件顶部添加此默认配置行
# System default
openssl_conf = default_conf
追加到文件底部的 conf 下方。
[default_conf]
ssl_conf = ssl_section
[ssl_section]
system_default = system_default_section
[system_default_section]
CipherString = ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384
Ciphersuites = TLS_AES_128_GCM_SHA256:TLS_CHACHA20_POLY1305_SHA256
我使用 Ciphersuites 来指定 TLSv1.3 密码,并使用 CipherString 来限制其他版本。
我正在尝试从 openssl 密码套件列表中删除弱密码。当我 运行 'openssl ciphers -v' 时,我也看到了带有 SSLv3 和 TLSv1 的密码。我想避免弱密码并将密码列表限制为仅 TLSv1.2 和更高版本。
有什么方法可以通过更新 openssl.cnf 文件来实现。
我尝试了https://github.com/openssl/openssl/issues/7562 and https://www.openssl.org/docs/man1.1.1/man5/config.html
的方法openssl_conf = default_conf
[default_conf]
ssl_conf = ssl_sect
[ssl_sect]
system_default = system_default_sect
[system_default_sect]
MinProtocol = TLSv1.2
使用上述配置,当我执行 运行 'openssl ciphers -v' 命令时,我希望只看到 TLSv1.2 和 TLSv1.3 密码,但我没有看到列出的密码有任何变化,所有弱密码也都是目前。
我们可以通过从 openssl 代码中删除它们并构建和安装来限制密码套件列表。如果有其他更简单的方法,请提出建议。
来自 openssl 手册页 - https://www.openssl.org/docs/man1.1.1/man5/config.html,有这样的声明 'The system default configuration with name system_default if present will be applied during any creation of the SSL_CTX structure.'
也就是说,这些 openssl.conf 更改是否仅适用于证书文件生成而不适用于 openssl 执行?
感谢任何帮助或澄清我的理解。
我们可以通过更改 openssl.cnf 文件来获得所需的密码。
在文件顶部添加此默认配置行
# System default
openssl_conf = default_conf
追加到文件底部的 conf 下方。
[default_conf]
ssl_conf = ssl_section
[ssl_section]
system_default = system_default_section
[system_default_section]
CipherString = ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384
Ciphersuites = TLS_AES_128_GCM_SHA256:TLS_CHACHA20_POLY1305_SHA256
我使用 Ciphersuites 来指定 TLSv1.3 密码,并使用 CipherString 来限制其他版本。