Versuch, openldap TLSCipherSuite zu konfigurieren
Ich habe einen openldap-Server und versuche, meine TLSCipherSuite
Einstellungen so anzupassen, dass sie so sicher sind, wie ich sie haben kann.
Bitte kritisieren Sie nicht meine aktuellen Sicherheitseinstellungen. Bitte helfen Sie mir einfach zu verstehen, was passiert.
Ich bearbeite die /etc/openldap/slapd.conf
Datei und verwende diese slaptest
zum Konvertieren der Datei in das /etc/openldap/slapd.d
Konfigurationsverzeichnis. Ich verwende, sslscan
um die verfügbaren Chiffren aufzulisten.
Ich habe mit angefangen
TLSCipherSuite HIGH:MEDIUM:-SSLv2:+SSLv3
und sslscan
sagt es mir
$ sslscan --no-failed hostname:636 | grep Accepted Accepted SSLv3 256 bits DHE-RSA-AES256-SHA Accepted SSLv3 256 bits DHE-RSA-CAMELLIA256-SHA Accepted SSLv3 256 bits AES256-SHA Accepted SSLv3 256 bits CAMELLIA256-SHA [...] Accepted TLS12 112 bits DES-CBC3-SHA Accepted TLS12 112 bits ECDHE-RSA-RC4-SHA Accepted TLS12 112 bits RC4-SHA Accepted TLS12 112 bits RC4-MD5 $ sslscan --no-failed hostname:636 | grep Accepted | wc -l 72
Von dort nahm ich MEDIUM heraus
TLSCipherSuite HIGH:-SSLv2:+SSLv3 $ sslscan --no-failed hostname:636 | grep Accepted | wc -l 57
Besser. Dann habe ich versucht, SHA1 zu entfernen, und hier werde ich völlig verwirrt.
TLSCipherSuite HIGH:-SSLv2:+SSLv3:-SHA $ sslscan --no-failed hostname:636 | grep Accepted | wc -l 91 $ sslscan --no-failed hostname:636 | grep Accepted [...] Accepted TLS12 112 bits RC4-SHA Accepted TLS12 112 bits RC4-MD5 Accepted TLS12 56 bits EDH-RSA-DES-CBC-SHA Accepted TLS12 56 bits DES-CBC-SHA Accepted TLS12 0 bits ECDHE-RSA-NULL-SHA Accepted TLS12 0 bits NULL-SHA Accepted TLS12 0 bits NULL-MD5
Meine Frage ist also ... was ist hier passiert, dass ich versucht habe , einige Chiffren von meiner akzeptierten Liste zu entfernen, und stattdessen ein Bündel hinzugefügt ? Was habe ich falsch gemacht?
Bitte kritisieren Sie meine aktuellen Sicherheitseinstellungen nicht. Bitte helfen Sie mir einfach zu verstehen, was passiert.
0 Antworten auf die Frage
Verwandte Probleme
-
20
Wie liste ich die SSL / TLS-Verschlüsselungssuiten auf, die eine bestimmte Website anbietet?
-
1
Wie kann man rootpw für OpenLDAP mit `config`-Backend einstellen?
-
1
Avast hängt Outlook wegen STARTTLS
-
2
open-ldap bindpw muss verschlüsselt werden
-
1
SSL / TLS kann nicht unter Mac OS X verwendet werden
-
2
Kostenloser SMTP-Server mit TLS-Unterstützung
-
1
TLS 1.0 Unchecked Kann GMAIL, HOTMAIL und andere Anmeldungen nicht öffnen?
-
1
Was würde passieren, wenn ein Server (Windows 2008) zur Verwendung von TLS 1.2 aktualisiert wird?
-
1
Ändern sich die Verschlüsselungsstandards auf einem Client-PC, wenn Sie SSL / TLS verwenden?
-
4
Können die Telnet- oder netcat-Clients über SSL kommunizieren?