У меня есть сервер openldap, и я пытаюсь настроить свои настройки TLSCipherSuite , чтобы они были максимально безопасными.
Пожалуйста, не критикуйте мои фактические настройки безопасности. Пожалуйста, просто помогите мне понять, что происходит.
Я редактирую файл /etc/openldap/slapd.conf и использую slaptest для преобразования этого файла в каталог конфигурации /etc/openldap/slapd.d . Я использую sslscan для перечисления шифров, доступных для использования.
Я начал с
TLSCipherSuite HIGH:MEDIUM:-SSLv2:+SSLv3
и sslscan говорит мне
$ sslscan --no-failed hostname:636 | grep Accepted
Accepted SSLv3 256 bits DHE-RSA-AES256-SHA
Accepted SSLv3 256 bits DHE-RSA-CAMELLIA256-SHA
Accepted SSLv3 256 bits AES256-SHA
Accepted SSLv3 256 bits CAMELLIA256-SHA
[...]
Accepted TLS12 112 bits DES-CBC3-SHA
Accepted TLS12 112 bits ECDHE-RSA-RC4-SHA
Accepted TLS12 112 bits RC4-SHA
Accepted TLS12 112 bits RC4-MD5
$ sslscan --no-failed hostname:636 | grep Accepted | wc -l
72
Оттуда я достал СРЕДНЮЮ
TLSCipherSuite HIGH:-SSLv2:+SSLv3
$ sslscan --no-failed hostname:636 | grep Accepted | wc -l
57
Лучше. Затем я попытался удалить SHA1, и вот тут я полностью запутался.
TLSCipherSuite HIGH:-SSLv2:+SSLv3:-SHA
$ sslscan --no-failed hostname:636 | grep Accepted | wc -l
91
$ sslscan --no-failed hostname:636 | grep Accepted
[...]
Accepted TLS12 112 bits RC4-SHA
Accepted TLS12 112 bits RC4-MD5
Accepted TLS12 56 bits EDH-RSA-DES-CBC-SHA
Accepted TLS12 56 bits DES-CBC-SHA
Accepted TLS12 0 bits ECDHE-RSA-NULL-SHA
Accepted TLS12 0 bits NULL-SHA
Accepted TLS12 0 bits NULL-MD5
Итак, мой вопрос ... что здесь произошло, что я попытался удалить некоторые шифры из моего принятого списка, и вместо этого я добавил кучу? Что я сделал не так?
Опять же, пожалуйста, не критикуйте мои фактические настройки безопасности. Пожалуйста, просто помогите мне понять, что происходит.