sslv3 viene ancora visualizzato nel risultato openssl anche dopo la disattivazione da sslprotocol [closed]

3

Stiamo cercando di disabilitare sslv3 per vulnerabilità dei poodle.so disabilitato in ssl.conf

SSLProtocol -ALL + TLSv1 -SSLv2 -SSLv3

e provato a connettersi usando tlsv1 usando il comando openssl.

openssl s_client -host localhost -port 8001 -tls1

Nuovo, TLSv1 / SSLv3, Cipher è AES256-SHA La chiave pubblica del server è 2048 bit La rinegoziazione sicura NON è supportata SSL-Session:     Protocollo: TLSv1     Codice: AES256-SHA     ID sessione: B391D1D3B9EAC8CEF97838AA3A1D1277     Session-ID-ctx:

Sto forzando openssl a connettere tlsv1, ma sta ancora mostrando sslv3 (Nuovo, TLSv1 / SSLv3, Cipher è AES256-SHA), per favore fammi sapere perché ot mostra sslv3 anche dopo la disabilitazione in ssl.conf?

Grazie Jay

    
posta Jay R 24.10.2014 - 11:57
fonte

1 risposta

5

Stai guardando la linea sbagliata.

New, TLSv1/SSLv3, Cipher is AES256-SHA

TLSv1 e SSLv3 utilizzano molti degli stessi codici. Questa riga ti sta solo dicendo che la cifra selezionata proviene dalla famiglia TLSv1 / SSLv3. Più in basso nell'output openssl dovrebbe essere qualcosa del tipo:

SSL-Session:
    Protocol  : TLSv1

Questo ti dice quale protocollo è in uso. Nel mio esempio, è TLSv1.

    
risposta data 24.10.2014 - 12:38
fonte

Leggi altre domande sui tag