मेरे पास एक ओपनडैप सर्वर है, और मैं अपनी TLSCipherSuite
सेटिंग्स को धुनने की कोशिश कर रहा हूं क्योंकि मैं उन्हें सुरक्षित रख सकता हूं।
कृपया मेरी वास्तविक सुरक्षा सेटिंग्स की आलोचना न करें। कृपया मुझे समझने में मदद करें कि क्या हो रहा है।
मैं /etc/openldap/slapd.conf
फ़ाइल का संपादन कर रहा हूँ , और मैं slaptest
उस फ़ाइल को /etc/openldap/slapd.d
विन्यास निर्देशिका में परिवर्तित करने के लिए उपयोग कर रहा हूँ । मैं उपयोग के sslscan
लिए उपलब्ध सिफर को सूचीबद्ध करने के लिए उपयोग कर रहा हूं ।
मैंने शुरुआत की
TLSCipherSuite HIGH:MEDIUM:-SSLv2:+SSLv3
और sslscan
मुझे बताता है
$ sslscan --no-failed hostname:636 | grep Accepted
Accepted SSLv3 256 bits DHE-RSA-AES256-SHA
Accepted SSLv3 256 bits DHE-RSA-CAMELLIA256-SHA
Accepted SSLv3 256 bits AES256-SHA
Accepted SSLv3 256 bits CAMELLIA256-SHA
[...]
Accepted TLS12 112 bits DES-CBC3-SHA
Accepted TLS12 112 bits ECDHE-RSA-RC4-SHA
Accepted TLS12 112 bits RC4-SHA
Accepted TLS12 112 bits RC4-MD5
$ sslscan --no-failed hostname:636 | grep Accepted | wc -l
72
वहाँ से, मैंने मेडम को निकाल लिया
TLSCipherSuite HIGH:-SSLv2:+SSLv3
$ sslscan --no-failed hostname:636 | grep Accepted | wc -l
57
बेहतर। तब मैंने SHA1 को हटाने की कोशिश की, और यहाँ मैं पूरी तरह से भ्रमित हो गया हूँ।
TLSCipherSuite HIGH:-SSLv2:+SSLv3:-SHA
$ sslscan --no-failed hostname:636 | grep Accepted | wc -l
91
$ sslscan --no-failed hostname:636 | grep Accepted
[...]
Accepted TLS12 112 bits RC4-SHA
Accepted TLS12 112 bits RC4-MD5
Accepted TLS12 56 bits EDH-RSA-DES-CBC-SHA
Accepted TLS12 56 bits DES-CBC-SHA
Accepted TLS12 0 bits ECDHE-RSA-NULL-SHA
Accepted TLS12 0 bits NULL-SHA
Accepted TLS12 0 bits NULL-MD5
तो मेरा सवाल है ... यहाँ क्या हुआ, कि मैंने अपनी स्वीकृत सूची से कुछ सिफर निकालने की कोशिश की , और इसके बजाय, मैंने एक गुच्छा जोड़ा ? मैंने गलत क्या किया?
फिर, कृपया मेरी वास्तविक सुरक्षा सेटिंग्स की आलोचना न करें। कृपया मुझे समझने में मदद करें कि क्या हो रहा है।