在我们当前的环境中,安全性会运行扫描以查找漏洞。一个问题不断出现OpenSSL(当前版本),4-5个密码低于128kb加密级别并标记扫描仪。
知道客户端必须指定选项,有时可以限制服务器接受选择的低密码。如果可以这样做,那么客户端请求的内容并不重要。在接受什么方面有一个配置选项是否有意义?
在我的具体案例中,我们正在试用一个用于文件传输的测试版软件,它将openSSL密码拉入其客户端。目前没有限制此选项的选项。
我也向测试版软件开发人员提出了类似的问题。
答案 0 :(得分:4)
您可以使用SSL_CTX_set_cipher_list()来限制密码列表。
#include <iostream>
#include <openssl/ssl.h>
// List of allowed ciphers in a colon-seperated list. Example limits ciphers to AES-256 only
const char *allowedCiphers = "AES256-SHA256:AES256-GCM-SHA38:DHE-RSA-AES256-SHA256";
bool SetCiphers(SSL *sslContext, const char *ciphers);
int main()
{
// Create a ssl context here etc.
SSL *ssl = ...;
// Set the allowed ciphers
if (!SetCiphers(ssl, allowedCiphers))
exit(-1);
// Process...
return 0;
}
bool SetCiphers(SSL *sslContext, const char *ciphers)
{
if (SSL_CTX_set_cipher_list(sslContext, ciphers) != 1)
{
std::cerr << L"[SSL_CTX_set_cipher_list] failed; could not find a suitable cipher in the provided list of ciphers \""
<< ciphers << "\"." << endl;
return false;
}
return true;
}
在shell中运行openssl ciphers -v,以获取系统上支持的密码列表。