Saya memiliki server openldap, dan saya mencoba menyetel TLSCipherSuite
pengaturan saya agar seaman mungkin.
Tolong jangan kritik pengaturan keamanan saya yang sebenarnya. Tolong bantu saya untuk mengerti apa yang sedang terjadi.
Saya mengedit /etc/openldap/slapd.conf
file, dan saya menggunakan slaptest
untuk mengkonversi file itu ke /etc/openldap/slapd.d
direktori konfigurasi. Saya menggunakan sslscan
daftar cipher yang tersedia untuk digunakan.
Saya mulai dengan
TLSCipherSuite HIGH:MEDIUM:-SSLv2:+SSLv3
dan sslscan
memberitahuku
$ sslscan --no-failed hostname:636 | grep Accepted
Accepted SSLv3 256 bits DHE-RSA-AES256-SHA
Accepted SSLv3 256 bits DHE-RSA-CAMELLIA256-SHA
Accepted SSLv3 256 bits AES256-SHA
Accepted SSLv3 256 bits CAMELLIA256-SHA
[...]
Accepted TLS12 112 bits DES-CBC3-SHA
Accepted TLS12 112 bits ECDHE-RSA-RC4-SHA
Accepted TLS12 112 bits RC4-SHA
Accepted TLS12 112 bits RC4-MD5
$ sslscan --no-failed hostname:636 | grep Accepted | wc -l
72
Dari sana, saya mengeluarkan MEDIUM
TLSCipherSuite HIGH:-SSLv2:+SSLv3
$ sslscan --no-failed hostname:636 | grep Accepted | wc -l
57
Lebih baik. Kemudian saya mencoba menghapus SHA1, dan di sinilah saya benar-benar bingung.
TLSCipherSuite HIGH:-SSLv2:+SSLv3:-SHA
$ sslscan --no-failed hostname:636 | grep Accepted | wc -l
91
$ sslscan --no-failed hostname:636 | grep Accepted
[...]
Accepted TLS12 112 bits RC4-SHA
Accepted TLS12 112 bits RC4-MD5
Accepted TLS12 56 bits EDH-RSA-DES-CBC-SHA
Accepted TLS12 56 bits DES-CBC-SHA
Accepted TLS12 0 bits ECDHE-RSA-NULL-SHA
Accepted TLS12 0 bits NULL-SHA
Accepted TLS12 0 bits NULL-MD5
Jadi pertanyaan saya adalah ... apa yang terjadi di sini, sehingga saya mencoba menghapus beberapa sandi dari daftar yang saya terima, dan sebagai gantinya, saya menambahkan banyak? Apa kesalahan yang telah aku perbuat?
Sekali lagi, tolong jangan kritik pengaturan keamanan saya yang sebenarnya. Tolong bantu saya untuk mengerti apa yang sedang terjadi.