Versuch, openldap TLSCipherSuite zu konfigurieren

Ich habe einen openldap-Server und versuche, meine TLSCipherSuiteEinstellungen so anzupassen, dass sie so sicher sind, wie ich sie haben kann.

Bitte kritisieren Sie nicht meine aktuellen Sicherheitseinstellungen. Bitte helfen Sie mir einfach zu verstehen, was passiert.

Ich bearbeite die /etc/openldap/slapd.confDatei und verwende diese slaptestzum Konvertieren der Datei in das /etc/openldap/slapd.dKonfigurationsverzeichnis. Ich verwende, sslscanum die verfügbaren Chiffren aufzulisten.

Ich habe mit angefangen

TLSCipherSuite HIGH:MEDIUM:-SSLv2:+SSLv3 

und sslscansagt es mir

$ sslscan --no-failed hostname:636 | grep Accepted Accepted SSLv3 256 bits DHE-RSA-AES256-SHA Accepted SSLv3 256 bits DHE-RSA-CAMELLIA256-SHA Accepted SSLv3 256 bits AES256-SHA Accepted SSLv3 256 bits CAMELLIA256-SHA [...] Accepted TLS12 112 bits DES-CBC3-SHA Accepted TLS12 112 bits ECDHE-RSA-RC4-SHA Accepted TLS12 112 bits RC4-SHA Accepted TLS12 112 bits RC4-MD5  $ sslscan --no-failed hostname:636 | grep Accepted | wc -l 72 

Von dort nahm ich MEDIUM heraus

TLSCipherSuite HIGH:-SSLv2:+SSLv3  $ sslscan --no-failed hostname:636 | grep Accepted | wc -l 57 

Besser. Dann habe ich versucht, SHA1 zu entfernen, und hier werde ich völlig verwirrt.

TLSCipherSuite HIGH:-SSLv2:+SSLv3:-SHA  $ sslscan --no-failed hostname:636 | grep Accepted | wc -l 91  $ sslscan --no-failed hostname:636 | grep Accepted [...] Accepted TLS12 112 bits RC4-SHA Accepted TLS12 112 bits RC4-MD5 Accepted TLS12 56 bits EDH-RSA-DES-CBC-SHA Accepted TLS12 56 bits DES-CBC-SHA Accepted TLS12 0 bits ECDHE-RSA-NULL-SHA Accepted TLS12 0 bits NULL-SHA Accepted TLS12 0 bits NULL-MD5 

Meine Frage ist also ... was ist hier passiert, dass ich versucht habe , einige Chiffren von meiner akzeptierten Liste zu entfernen, und stattdessen ein Bündel hinzugefügt ? Was habe ich falsch gemacht?

Bitte kritisieren Sie meine aktuellen Sicherheitseinstellungen nicht. Bitte helfen Sie mir einfach zu verstehen, was passiert.