sslv3 aún se muestra en el resultado de openssl incluso después de deshabilitar desde sslprotocol [cerrado]

Question

sslv3 aún se muestra en el resultado de openssl incluso después de deshabilitar desde sslprotocol [cerrado]

Navega tus respuestas

#1 de Mark (5 votos)

3

Estamos intentando deshabilitar sslv3 para la vulnerabilidad de poodle.so he deshabilitado en ssl.conf

SSLProtocol -ALL + TLSv1 -SSLv2 -SSLv3

e intenté conectar usando tlsv1 usando el comando openssl.

openssl s_client -host localhost -port 8001 -tls1

Nuevo, TLSv1 / SSLv3, el cifrado es AES256-SHA La clave pública del servidor es 2048 bit La renegociación segura NO es compatible Sesión SSL: Protocolo: TLSv1 Cifrado: AES256-SHA ID de sesión: B391D1D3B9EAC8CEF97838AA3A1D1277 ID de sesión-ctx:

Estoy forzando a openssl para que conecte tlsv1, pero aún muestra sslv3 (Nuevo, TLSv1 / SSLv3, Cipher es AES256-SHA). Por favor, avíseme por qué muestra sslv3 incluso después de deshabilitar en ssl.conf?

Gracias Jay

tls

pregunta Jay R 24.10.2014 - 11:57

fuente

1 respuesta

Lea otras preguntas en las etiquetas tls

NaCL: Encripta el archivo a múltiples destinatarios ¿No es seguro tener hashes de partes de una cadena privada?

score 5 · Accepted Answer

Estás mirando la línea incorrecta.

New, TLSv1/SSLv3, Cipher is AES256-SHA

TLSv1 y SSLv3 usan muchos de los mismos cifrados. Esta línea solo le indica que el cifrado seleccionado es de la familia TLSv1 / SSLv3. Más abajo en la salida openssl debería ser algo como esto:

SSL-Session:
    Protocol  : TLSv1

Esto le indica qué protocolo está en uso. En mi ejemplo, es TLSv1.