ฉันมีเซิร์ฟเวอร์ openldap และฉันพยายามปรับTLSCipherSuiteการตั้งค่าของฉันให้ปลอดภัยเท่าที่จะทำได้
โปรดอย่าวิจารณ์การตั้งค่าความปลอดภัยที่แท้จริงของฉัน โปรดช่วยฉันเข้าใจว่าเกิดอะไรขึ้น
ฉันกำลังแก้ไข/etc/openldap/slapd.confไฟล์และฉันกำลังใช้slaptestเพื่อแปลงไฟล์นั้นเป็น/etc/openldap/slapd.dไดเรกทอรีการกำหนดค่า ฉันใช้sslscanเพื่อแสดงรายการเลขศูนย์ที่มีให้ใช้งาน
ฉันเริ่มต้นด้วย
TLSCipherSuite HIGH:MEDIUM:-SSLv2:+SSLv3
และsslscanบอกฉัน
$ sslscan --no-failed hostname:636 | grep Accepted
Accepted SSLv3 256 bits DHE-RSA-AES256-SHA
Accepted SSLv3 256 bits DHE-RSA-CAMELLIA256-SHA
Accepted SSLv3 256 bits AES256-SHA
Accepted SSLv3 256 bits CAMELLIA256-SHA
[...]
Accepted TLS12 112 bits DES-CBC3-SHA
Accepted TLS12 112 bits ECDHE-RSA-RC4-SHA
Accepted TLS12 112 bits RC4-SHA
Accepted TLS12 112 bits RC4-MD5
$ sslscan --no-failed hostname:636 | grep Accepted | wc -l
72
จากนั้นฉันก็หยิบ MEDIUM ออกมา
TLSCipherSuite HIGH:-SSLv2:+SSLv3
$ sslscan --no-failed hostname:636 | grep Accepted | wc -l
57
ดีกว่า จากนั้นฉันพยายามลบ SHA1 และนี่คือที่ที่ฉันสับสนอย่างสมบูรณ์
TLSCipherSuite HIGH:-SSLv2:+SSLv3:-SHA
$ sslscan --no-failed hostname:636 | grep Accepted | wc -l
91
$ sslscan --no-failed hostname:636 | grep Accepted
[...]
Accepted TLS12 112 bits RC4-SHA
Accepted TLS12 112 bits RC4-MD5
Accepted TLS12 56 bits EDH-RSA-DES-CBC-SHA
Accepted TLS12 56 bits DES-CBC-SHA
Accepted TLS12 0 bits ECDHE-RSA-NULL-SHA
Accepted TLS12 0 bits NULL-SHA
Accepted TLS12 0 bits NULL-MD5
ดังนั้นคำถามของฉันคือ ... เกิดอะไรขึ้นที่นี่ฉันพยายามลบเลขศูนย์ออกจากรายชื่อที่ยอมรับแล้ว แต่ฉันเพิ่มกลุ่มแทน? ฉันทำผิดอะไร?
อีกครั้งโปรดอย่าวิจารณ์การตั้งค่าความปลอดภัยที่แท้จริงของฉัน โปรดช่วยฉันเข้าใจว่าเกิดอะไรขึ้น