我想更新 OpenSSL 1.0.2 的配置(特别是在 AWS 的 Amazon Linux 2 AMI 上找到的 1.0.2k-fips),以便任何使用 OpenSSL 的客户端都拒绝 TLSv1.1、TLSv1 或任何非 TLSv1 的更低版本.2.
我了解到,对于 OpenSSL 1.1+,OpenSSL 配置文件(例如,Amazon Linux 2 上的 /etc/pki/tls/openssl.cnf,或 Debian 衍生产品上的 /usr/lib/ssl/openssl.cnf,或其他任何
$OPENSSL_CONF openssl_confssl_confsystem_defaultMinProtocol=TLSv1.2但是,OpenSSL 1.0.2k 中的
ssl_conflibssl_conf.so所以 我的问题: 如果尝试使用 TLSv1.1 或更低版本,是否可以将 OpenSSL 1.0.2 配置为失败?至少通过
openssl附加信息:至少在带有 OpenSSL 1.0.2k-fips 的 Amazon Linux 2 上,使用
greplibssl.so.1.1所以这证实了我的怀疑,我的问题的答案是:不,这是不可能的。
配置文件中的命名部分没有特定规则,如下所述: https://www.openssl.org/docs/man1.1.1/man5/config.html
“配置文件的第一部分是特殊的,被称为默认部分。这部分通常是未命名的,从文件开始到第一个命名部分。当一个名字被查找时 它首先 在 命名部分(如果有) 中查找,然后是默认部分。”
所以在其他版本中使用的相同 MinProtocol 字段也必须在这里工作。也许它只是没有在手册页上提到。
对了,
MinProtocol相反,您可以配置要允许的密码列表。当仅选择那些实现 TLS 1.2 的那些时,您将获得想要实现的目标。 首先,生成实现 TLS 1.2 的 openssl 版本支持的所有密码的列表:
openssl ciphers 'TLSv1.2'
输出将是这些密码的冒号(“:”)分隔列表。
在您的配置文件中,将以下行添加到您的 system_default 部分:
CipherString = <colon (“:”) separated list of ciphers copied from the command above>
CipherStringCiphersuitesCiphersuites =
示例(我在这里随机缩短了列表):
openssl_conf = default_conf
[default_conf]
ssl_conf = ssl_section
[ssl_section]
system_default = system_default_section
[system_default_section]
CipherString = TLS_AES_128_GCM_SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-DSS-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384
Ciphersuites =
现在您可以继续,在选择密码时更加挑剔。
要检查配置是否成功,请在配置更改前后发出以下命令:
openssl ciphers -v
记录下来,作为一个自我回答(替换为查找 ChatGPT 生成的答案而删除的答案):OpenSSL 1.0.2 不支持通过其配置文件配置允许的 SSL/TLS 协议版本或密码套件。
证据:
MinProtocolssl_conf$OPENSSL_CONFcould not load the shared library:dso_dlfcn.c:187:filename(libssl_conf.so): libssl_conf.so: cannot open shared object file: No such file or directory(正如 ChatGPT 指出的那样,合作客户端可以通过多种方式为 OpenSSL 提供此类设置,例如,通过其 API,或通过 Python
ssl