问题描述
我有一个在solaris上运行的HTTP进程,最近我们被要求从密码套件中删除3DES。我们需要应用类似以下内容的密码套件配置, SSLCipherSuite HIGH:!aNULL:!eNULL:!PSK:!RC4:!MD5:!3DES 但是这里有一个Oracle文档-https://docs.oracle.com/middleware/12213/webtier/administer-ohs/GUID-C76BCA2A-9C28-4D16-9758-9346FBCF7512.htm#HSADM1016 其中说
所以我的问题是,如果我们应用!3DES且更改不起作用,是否只需删除!3DES就可以在同一密码套件配置中再次使用它?造成混淆的原因是,甲骨文说应用!3DES会永久地从列表中删除密码。换句话说,应用!3DES是不可逆的更改吗?注意-我们只能访问HTTP和sll conf文件,在这些文件中我们可以更改密码套件
解决方法
相关文档为the documentation of ciphers in OpenSSL。引用:
如果!使用密码,然后从列表中永久删除密码。即使已明确指出,删除的密码也永远不会出现在列表中。
如果使用-,则会从列表中删除密码,但是以后的选项可以再次添加一些或所有密码。
因此,这两个选项都将从列表中删除给定的密码。但是只有!是永久的。
要了解,请使用HIGH !3DES kRSA和HIGH -3DES !kRSA。在第一种情况下,没有启用3DES密码。在第二种情况下,启用了使用RSA密钥交换的3DES密码,因为这些密码是由后来的kRSA添加的。
换句话说:要确保在任何情况下都不要使用这些密码,最好使用!。