Меня попросили отключить использование всех SSL и TLS <TLS 1.2 глобально на одном из моих ящиков Centos. Было высказано предположение, что я смогу сделать это в библиотеке openssl.
Я достаточно знаком с SSL / TLS, наборами шифров и т. Д., Но не вижу, как это сделать в openssl.cnf. В документации, которую я нахожу, ясно, как это сделать для Apache или как ограничить доступную версию протокола в приложении, но это не то, что мне нужно. Я не использую веб-сервер.
Есть ли способ сделать это, не считая изменения источника для фильтрации наборов шифров и протоколов, а затем перестройки?
MinProtocol в файле конфигурации относительно новый для OpenSSL, я думаю 1.1.1.
Однако TLS гораздо сложнее, это непростой ответ. OpenSSL MinProtocol доступен только для относительно новых версий дистрибутива, таких как EL8. Приложение может использовать API способом, который не использует openssl.cnf, возможно, используя свою собственную конфигурацию. Или используйте другой TLS, например gnutls или NSS.
По-прежнему рекомендуется читать документацию, возможно, исходный код программного обеспечения, которое вы используете для любой конфигурации, связанной с TLS. Исторически сложилось так, что веб-серверы предоставляли большую часть конфигурации протокола. Но это не единственное программное обеспечение, в котором TLS более детализирован, чем включение и выключение.
Затем проверьте, можно ли согласовать меньший TLS во время захвата пакета. Существуют инструменты, помогающие в этом.