Esiste un modo semplice in stile lista nera per disattivare le suite di crittografia in modalità CBC in app che utilizzano un elenco di suite di crittografia openssl? Spero che qualcosa sia nello stile !RC4 , tuttavia !CBC non ha alcun effetto e consente ancora suite come TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 .
L'unica soluzione che ho trovato finora è utilizzare una whitelist molto più dettagliata che include solo crittografie non CBC. C'è un'alternativa più semplice?
Secondo l'elenco delle stringhe di cifratura fornite in la documentazione (codice utente) non esiste una stringa che descriva tutti i cifrari CBC. Ciò significa che non esiste un modo semplice per disattivare tutti questi (e solo questi) con un !CBC o simile.
Non c'è modo di farlo direttamente, comunque puoi scriverlo un po '.
Diciamo che la stringa iniziale delle suite di codici è !3DES:HIGH . (Dovresti probabilmente avere una stringa di suite di cifratura migliore per cominciare, ma questo è un buon punto di partenza e non ingombra troppo questa risposta.)
Ora fai questo:
$ openssl ciphers '!3DES:HIGH' \
| sed -e 's/:/\n/g' \
| grep -v GCM \
| sed -e ':a' -e 'N' -e '$!ba' -e 's/\n/:!/g' -e 's/^/!/'
Spiegazione, per riga:
: -separato in una suite di crittografia one-line GCM
:! , quindi aggiungi un ! all'inizio Ora prendi questo output e posizionalo nella parte anteriore della stringa della suite di crittografia. Non buttare via il tuo originale, perché potresti voler rieseguire questo processo in un secondo momento quando la stringa iniziale delle suite di crittografia cambia, o se vengono aggiunti nuovi codici a OpenSSL o persino alla loro lista predefinita HIGH .
Leggi altre domande sui tag openssl cipher-selection