2012年6月21日

[Apache-Users 8040] Re:128bit未満のSSL通信に関して

** Apache ユーザーズメーリングリスト **
** 注意:このメールへの返信は Apache-Users へ行きます **


> サーバのSSL設定ファイル(/etc/httpd/conf.d/ssl.conf)から、
> 以下の項目の記述を実行し、apacheの再起動を実施しました。
>  SSLProtocol all -SSLv2
>  SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP

>
> しかし、サーバから以下のコマンドを実行すると、
> 以下のように128bit未満のSSLも有効化されております。
>
> # openssl ciphers -v
> DHE-RSA-AES256-SHA SSLv3 Kx=DH Au=RSA Enc=AES(256) Mac=SHA1
> DHE-DSS-AES256-SHA SSLv3 Kx=DH Au=DSS Enc=AES(256) Mac=SHA1
> AES256-SHA SSLv3 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA1

試すのであれば、

$ openssl ciphers -v 'ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP'

だと思います。
引数なしだと、その openssl が持っているすべての cipher を列挙するんじゃ
なかったかと。

あとは https サーバを建てておいて、sslscan とか ssl_test とかで実際に
試してみる手もあります。
参考) https://www.owasp.org/index.php/Testing_for_SSL-TLS_(OWASP-CM-001)

--
moto kawasaki <moto@xxxxx> 090-2464-8454

--
入退会・変更・配送一時停止は以下へ
http://www.apache.jp/mailman/listinfo/apache-users


投稿者 xml-rpc : 2012年6月21日 21:16
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/110971
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。