在SSL連接中禁用弱密碼

Question

我正在使用函數SSL_CTX_set_cipher_list來設置SSL連接所支持的密碼。傳遞給SSL_CTX_set_cipher_list以禁用弱密碼的參數。

我試圖通過ALL:!ADH:!LOW:!EXP:!MD5:@STRENGTH

，但它似乎並沒有工作。

我檢測以下爲啓用還是

 
** SSLv3:DES-CBC-SHA - ENABLED - WEAK 56 bits ** 

** TLSv1:DES-CBC-SHA - ENABLED - WEAK 56 bits ** 

** SSLv2:RC4-MD5 - ENABLED - WEAK 128 bits ** 
** SSLv2:RC2-CBC-MD5 - ENABLED - WEAK 128 bits ** 
** SSLv2:RC4-64-MD5 - ENABLED - WEAK 64 bits ** 
** SSLv2:DES-CBC-MD5 - ENABLED - WEAK 56 bits ** 
** SSLv2:EXP-RC4-MD5 - ENABLED - WEAK 40 bits ** 
** SSLv2:EXP-RC2-CBC-MD5 - ENABLED - WEAK 40 bits ** 
** SSLv2:DES-CBC3-MD5 - ENABLED - WEAK 168 bits ** 

傳遞什麼參數SSL_CTX_set_cipher_list禁用以上密碼弱密碼報告工具？

Answer 1

高：！DSS：！aNULL @ STRENGTH應該工作。

OpenSSL的密碼-v 'HIGH：DSS：！@零位強度'打印密碼名單如下：

DHE-RSA-AES256-SHA  SSLv3 Kx=DH  Au=RSA Enc=AES(256) Mac=SHA1 
AES256-SHA    SSLv3 Kx=RSA  Au=RSA Enc=AES(256) Mac=SHA1 
EDH-RSA-DES-CBC3-SHA SSLv3 Kx=DH  Au=RSA Enc=3DES(168) Mac=SHA1 
DES-CBC3-SHA   SSLv3 Kx=RSA  Au=RSA Enc=3DES(168) Mac=SHA1 
DES-CBC3-MD5   SSLv2 Kx=RSA  Au=RSA Enc=3DES(168) Mac=MD5 
DHE-RSA-AES128-SHA  SSLv3 Kx=DH  Au=RSA Enc=AES(128) Mac=SHA1 
AES128-SHA    SSLv3 Kx=RSA  Au=RSA Enc=AES(128) Mac=SHA1 

OpenSSL的密碼字符串的完整列表及其含義看看：http://www.openssl.org/docs/apps/ciphers.html

Answer 2

傳遞什麼參數SSL_CTX_set_cipher_list禁用弱密碼

這取決於你正在使用的弱者的定義。在2015年，你必須從HIGH:!aNULL得到有效提升，因爲現代瀏覽器拒絕包含HIGH中包含的一些密碼。如果你允許MD5和/或RC4，那麼你得到obsolete cryptography warning。

HIGH:!aNULL:!MD5:!RC4 

調用看起來就像這樣：

rc = SSL_CTX_set_cipher_list(ctx, "HIGH:!aNULL:!MD5:!RC4"); 
ASSERT(rc >= 1); 

您還應該禁用的SSLv2，SSLv3和可能壓縮。你這樣做，像這樣：

const long flags = SSL_OP_NO_SSLv2 | SSL_OP_NO_SSLv3 | SSL_OP_NO_COMPRESSION; 
SSL_CTX_set_options(ctx, flags); 

SSL_CTX_set_options沒有返回值，所以沒有什麼測試，以確保調用成功。