Saya memiliki server openldap, dan saya mencoba menyetel TLSCipherSuitepengaturan saya agar seaman mungkin.

Tolong jangan kritik pengaturan keamanan saya yang sebenarnya. Tolong bantu saya untuk mengerti apa yang sedang terjadi.

Saya mengedit /etc/openldap/slapd.conffile, dan saya menggunakan slaptestuntuk mengkonversi file itu ke /etc/openldap/slapd.ddirektori konfigurasi. Saya menggunakan sslscandaftar cipher yang tersedia untuk digunakan.

Saya mulai dengan

TLSCipherSuite HIGH:MEDIUM:-SSLv2:+SSLv3

dan sslscanmemberitahuku

$ sslscan --no-failed hostname:636  | grep Accepted
Accepted  SSLv3  256 bits  DHE-RSA-AES256-SHA
Accepted  SSLv3  256 bits  DHE-RSA-CAMELLIA256-SHA
Accepted  SSLv3  256 bits  AES256-SHA
Accepted  SSLv3  256 bits  CAMELLIA256-SHA
[...]
Accepted  TLS12  112 bits  DES-CBC3-SHA
Accepted  TLS12  112 bits  ECDHE-RSA-RC4-SHA
Accepted  TLS12  112 bits  RC4-SHA
Accepted  TLS12  112 bits  RC4-MD5

$ sslscan --no-failed hostname:636  | grep Accepted  | wc -l
72

Dari sana, saya mengeluarkan MEDIUM

TLSCipherSuite HIGH:-SSLv2:+SSLv3

$ sslscan --no-failed hostname:636  | grep Accepted  | wc -l
57

Lebih baik. Kemudian saya mencoba menghapus SHA1, dan di sinilah saya benar-benar bingung.

TLSCipherSuite HIGH:-SSLv2:+SSLv3:-SHA

$ sslscan --no-failed hostname:636  | grep Accepted  | wc -l
91

$ sslscan --no-failed hostname:636  | grep Accepted
[...]
Accepted  TLS12  112 bits  RC4-SHA
Accepted  TLS12  112 bits  RC4-MD5
Accepted  TLS12  56 bits   EDH-RSA-DES-CBC-SHA
Accepted  TLS12  56 bits   DES-CBC-SHA
Accepted  TLS12  0 bits    ECDHE-RSA-NULL-SHA
Accepted  TLS12  0 bits    NULL-SHA
Accepted  TLS12  0 bits    NULL-MD5

Jadi pertanyaan saya adalah ... apa yang terjadi di sini, sehingga saya mencoba menghapus beberapa sandi dari daftar yang saya terima, dan sebagai gantinya, saya menambahkan banyak? Apa kesalahan yang telah aku perbuat?

Sekali lagi, tolong jangan kritik pengaturan keamanan saya yang sebenarnya. Tolong bantu saya untuk mengerti apa yang sedang terjadi.

nyanyian pujian
sumber