Quando abilito i metodi ssl3 ma disabilito ssl3 in OpenSSL

2

Ho bisogno di compilare uno strumento di scansione tls e voglio usare OpenSSL1.1.0g. Lo strumento utilizza la libreria e la compila nel file di build. Sfortunatamente lo strumento non viene creato correttamente quando la mia configurazione OpenSSL non abilita esplicitamente ssl3-methods . Quando ho configurato OpenSSL con: enable-ssl3-method lo strumento è stato compilato con successo. Ho quindi provato a disabilitare ssl3 così ho:

no-ssl3 enable-ssl3-method

Compilare anche. Non capisco la differenza tra i due. Ho bisogno dello strumento per non negoziare TLS con SSLv3 e inoltre non lo accetto se è l'unica versione supportata dal server.

Qualcuno può chiarire se questa configurazione è ok? qual è la differenza tra le due opzioni? Impediranno il supporto client per SSLv3?

Purtroppo non riesco nemmeno a testare la versione connettendomi a un server SSLv3. Lo strumento analizza TLS 1.0 e TLS 1.1 come SSL3, ma questo non è un problema con me finché non accetta handshek con SSLv3.

    
posta user9371654 03.10.2018 - 20:58
fonte

1 risposta

1

L'opzione disable-ssl3 (o no-ssl3 ) impedirà che la versione del protocollo SSL 3.0 sia mai negoziata nella libreria. Questo è fatto per impostazione predefinita dal momento che OpenSSL 1.1.0 (ma ovviamente i valori predefiniti possono essere modificati).

L'opzione enable-ssl3-method controlla quale parte del codice sarà costruita. Se la tua applicazione legacy si collega alla funzione SSLv3_method , allora questa opzione deve essere impostata se vuoi usare la tua applicazione legacy invariata. Credo che anche con questa opzione, nessun SSLv3.0 verrà negoziato se disabilitato prima con disable-ssl3 .

Nota inoltre che l'opzione disable-ssl3-method implica disable-ssl3 .

Le applicazioni devono utilizzare TLS_method invece del% più specifico% co_de, SSLv3_method , TLSv1_method , ecc.

    
risposta data 04.10.2018 - 17:09
fonte

Leggi altre domande sui tag