2012年6月22日

[Apache-Users 8041] Re:128bit未満のSSL通信に関して

** Apache ユーザーズメーリングリスト **
** 注意:このメールへの返信は Apache-Users へ行きます **

カワサキ様

コメント頂き、誠にありがとうございます。
もし私のスキル不足でしたら、大変申し訳ございません。
1点教えて頂ければ幸いでございます。


教えて頂きましたopenssl ciphersコマンドなのですが、
このコマンド自体確認コマンドだと理解しているのですが、
私の勘違いなのでしょうか?

お手数ですが、ご教授頂ければ幸いでございます。


以上、申し訳ございませんが、どうぞよろしくお願いします。

moto kawasaki wrote:
> ** Apache ユーザーズメーリングリスト **
> ** 注意:このメールへの返信は Apache-Users へ行きます **
>
>
> > サーバのSSL設定ファイル(/etc/httpd/conf.d/ssl.conf)から、
> > 以下の項目の記述を実行し、apacheの再起動を実施しました。
> >  SSLProtocol all -SSLv2
> >  SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP
> >
> > しかし、サーバから以下のコマンドを実行すると、
> > 以下のように128bit未満のSSLも有効化されております。
> >
> > # openssl ciphers -v
> > DHE-RSA-AES256-SHA SSLv3 Kx=DH Au=RSA Enc=AES(256) Mac=SHA1
> > DHE-DSS-AES256-SHA SSLv3 Kx=DH Au=DSS Enc=AES(256) Mac=SHA1
> > AES256-SHA SSLv3 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA1
>
> 試すのであれば、
>
> $ openssl ciphers -v 'ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP'
>
> だと思います。
> 引数なしだと、その openssl が持っているすべての cipher を列挙するんじゃ
> なかったかと。
>
> あとは https サーバを建てておいて、sslscan とか ssl_test とかで実際に
> 試してみる手もあります。
> 参考) https://www.owasp.org/index.php/Testing_for_SSL-TLS_(OWASP-CM-001)
>
> --
> moto kawasaki <moto@xxxxx> 090-2464-8454
>
> --
> 入退会・変更・配送一時停止は以下へ
> http://www.apache.jp/mailman/listinfo/apache-users
--
入退会・変更・配送一時停止は以下へ
http://www.apache.jp/mailman/listinfo/apache-users


投稿者 xml-rpc : 2012年6月22日 11:45
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/110972
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。