7

Я хочу удалить RC4 из Google Chrome и нашел параметр командной строки --cipher-suite-blacklist . Однако я не смог понять, что такое правильное обозначение для RC4. Все, что я пробовал до сих пор, только принесло сообщение:

ERROR:ssl_config_service_manager_pref.cc(55)] Ignoring unrecognized or \
  unparsable cipher suite:

Даже имена, перечисленные в ssl_cipher_suite_names.cc , не работают. Что я должен ввести, чтобы удалить RC4 в качестве шифра для SSL/TLS?

Я работаю с некоторыми различными версиями GNU/Linux, а иногда и с Windows. Поэтому было бы неплохо, если бы аргумент командной строки работал во всех ОС. Я использовал следующую команду:

chrome --cipher-suite-blacklist=TLS_RSA_WITH_RC4_128_MD5 --ssl-version-min=tls1.1
chrome --cipher-suite-blacklist=RC4 --ssl-version-min=tls1.1
chrome --cipher-suite-blacklist=0xXYZ,0xUVW --ssl-version-min=tls1.1  # XYZ and UVW are some hexadecimal numbers
|источник

3 ответа3

11

Вы должны информировать шифры в шестнадцатеричном виде, основываясь на RFC 2246 (http://www.ietf.org/rfc/rfc2246.txt).

Правильная командная строка:

 chrome --cipher-suite-blacklist=0x0004,0x0005,0xc011

Между запятой нет пробелов.

|источник
2

Тиаго прав.

Однако есть еще несколько шифров, которые вы можете заблокировать:https://www.opensource.apple.com/source/Security/Security-55163.44/libsecurity_ssl/Security/CipherSuite.h?txt

Следовательно, вы должны попробовать эту командную строку:

chrome --cipher-suite-blacklist = 0x0001,0x0002,0x0004,0x0005,0x0017,0x0018,0xc002,0xc007,0xc00c, 0xc011,0xc016,0xff80,0xff81,0xff82,0xff83

Он должен блокировать все шифры, используя RC4 и / или MD5.

|источник
1

TL; DR

Вам нужно добавить следующий параметр, чтобы заблокировать все шифры RC4 (начиная с Chrome 31 в Ubuntu 12.04 с NSS 3.15)

--cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007

Общий ответ, чтобы понять это самостоятельно

Регулярно обновляемый список всех шифров по IANA , которые пользователь @Lekensteyn вывешенные уже очень полезно и , безусловно , лучше , чем скользя некоторые .txt файлы, но я нашел еще более простой способ ...

  • проверьте, какие шифры поддерживает ваш браузер
  • получить шестнадцатеричное значение поддерживаемых шифров

Обе данные предоставляются непосредственно в вашем браузере, посетив следующий веб-сайт Ганноверского университета им. Лейбница:

На рисунке ниже идентификаторы шифра находятся на левой стороне таблицы. Итак, если бы я хотел заблокировать два шифра RSA-AES-128-GCM-SHA256 и RSA-AES256-SHA я бы искал (00,9c) и (00,35) .

Для Google Chrome это означает, что я должен добавить параметр 1:

--cipher-suite-blacklist=0x009c,0x0035

__

1- В Google Chrome на Ubuntu вы должны отредактировать файл /usr/share/applications/google-chrome.desktop и добавить параметр в каждую строку, которая начинается с Exec=/usr/bin/google-chrome-stable . Всего должно быть три.

Exec=/usr/bin/google-chrome-stable --cipher-suite-blacklist=0x009c,0x0035
|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .