我正在尝试从openssl密码套件列表中删除弱密码。当我运行"openssl密码-v"时,我也会看到SSLv3和TLSv1的密码。我希望避免弱密码,并将密码列表限制为仅TLSv1.2及更高版本。
有什么方法可以通过更新openssl.cnf文件来做到这一点吗。
我尝试了来自https://github.com/openssl/openssl/issues/7562和https://www.openssl.org/docs/man1.1.1/man5/config.html
openssl_conf = default_conf
[default_conf]
ssl_conf = ssl_sect
[ssl_sect]
system_default = system_default_sect
[system_default_sect]
MinProtocol = TLSv1.2
使用上面的配置,当我运行'openssl ciphers-v'命令时,我希望只看到TLSv1.2和TLSv1.3密码,但我没有看到列出的密码有任何变化,所有弱密码也都存在。
我们可以通过从openssl代码中删除密码套件并构建和安装它们来限制密码套件列表。请建议是否有其他更简单的方法。
从openssl手册页-https://www.openssl.org/docs/man1.1.1/man5/config.html,具有以下语句"如果存在,则名称为system_default的系统默认配置将在SSL_CTX结构的任何创建过程中应用。">
也就是说,这些openssl.conf更改是否仅应用于证书文件生成而不应用于openssl执行?
感谢对我的理解的任何帮助或澄清。
通过更改openssl.cnf文件,我们只能获得所需的密码。
在文件的顶部添加此默认conf行
# System default
openssl_conf = default_conf
在文件底部的conf下面追加。
[default_conf]
ssl_conf = ssl_section
[ssl_section]
system_default = system_default_section
[system_default_section]
CipherString = ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384
Ciphersuites = TLS_AES_128_GCM_SHA256:TLS_CHACHA20_POLY1305_SHA256
我使用Ciphersuites指定TLSv1.3密码,并使用CipherString限制其他版本。