3 votos

Cómo habilitar 3DES SSL sistemas de cifrado OpenSSL 1.0.2 k

OpenSSL 1.0.2 k ha eliminado sistemas de cifrado 3DES en su defecto lo que significa que algunos navegadores antiguos (por ejemplo, internet explorer 8 en Windows XP) pueden no ser compatibles.

De acuerdo con OpenSSL blog oficial, para volver a habilitar sistemas de cifrado 3DES, debemos agregar enable-weak-ssl-ciphers flag al compilar.

Entonces, ¿cómo lidiar con eso? Las otras banderas requiere al compilar? Además, puedo cubrir el Openssl instalado DPKG(Paquete de Debian administrar instrumento) con el auto-compilado, 3DES-versión habilitada? Si es posible, ¿Cómo?

Gracias :-)

0voto

kostix Puntos 1275

Usted necesitará:

  1. La reconstrucción de la Debian del paquete OpenSSL—la versión incluida en su versión de Debian.
  2. Alojamiento en algún lugar para que esté disponible en todas las máquinas usted desea reemplazar el original.
  3. Asegurarse de reconstruir su versión personalizada cada vez que el stock de OpenSSL paquete recibe una actualización de seguridad (y de ahí su nuevo parche para la versión es liberada a través de las actualizaciones de seguridad de canal).

Por desgracia, todos los pasos anteriores requieren de una mayor expansión, por lo que la pregunta principal que tengo es usted seguro de triple-DES está deshabilitado en stock Debian construye? En mi Tramo sistema que yo tengo:

$ openssl version
OpenSSL 1.1.0c  10 Nov 2016

$ openssl list -cipher-algorithms | grep -i des
DES => DES-CBC
DES-CBC
DES-CFB
DES-CFB1
DES-CFB8
DES-ECB
DES-EDE
DES-EDE-CBC
DES-EDE-CFB
DES-EDE-ECB => DES-EDE
DES-EDE-OFB
DES-EDE3
DES-EDE3-CBC
DES-EDE3-CFB
DES-EDE3-CFB1
DES-EDE3-CFB8
DES-EDE3-ECB => DES-EDE3
DES-EDE3-OFB
DES-OFB
DES3 => DES-EDE3-CBC
DESX => DESX-CBC
DESX-CBC
des => DES-CBC
DES-CBC
DES-CFB
DES-CFB1
DES-CFB8
DES-ECB
DES-EDE
DES-EDE-CBC
DES-EDE-CFB
des-ede-ecb => DES-EDE
DES-EDE-OFB
DES-EDE3
DES-EDE3-CBC
DES-EDE3-CFB
DES-EDE3-CFB1
DES-EDE3-CFB8
des-ede3-ecb => DES-EDE3
DES-EDE3-OFB
DES-OFB
des3 => DES-EDE3-CBC
des3-wrap => id-smime-alg-CMS3DESwrap
desx => DESX-CBC
DESX-CBC
id-smime-alg-CMS3DESwrap

$ openssl list -disabled
Disabled algorithms:
BLAKE2
HEARTBEATS
IDEA
MD2
MDC2
RC5
SCTP
SSL3
ZLIB

Lo que, para mí, sugiere que tengo una forma más reciente versión de OpenSSL que el que está hablando, y se ha 3DES compatibles.

Así que, ¿la prueba?

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: