sslv3 aún se muestra en el resultado de openssl incluso después de deshabilitar desde sslprotocol [cerrado]

3

Estamos intentando deshabilitar sslv3 para la vulnerabilidad de poodle.so he deshabilitado en ssl.conf

SSLProtocol -ALL + TLSv1 -SSLv2 -SSLv3

e intenté conectar usando tlsv1 usando el comando openssl.

openssl s_client -host localhost -port 8001 -tls1

Nuevo, TLSv1 / SSLv3, el cifrado es AES256-SHA La clave pública del servidor es 2048 bit La renegociación segura NO es compatible Sesión SSL:     Protocolo: TLSv1     Cifrado: AES256-SHA     ID de sesión: B391D1D3B9EAC8CEF97838AA3A1D1277     ID de sesión-ctx:

Estoy forzando a openssl para que conecte tlsv1, pero aún muestra sslv3 (Nuevo, TLSv1 / SSLv3, Cipher es AES256-SHA). Por favor, avíseme por qué muestra sslv3 incluso después de deshabilitar en ssl.conf?

Gracias Jay

    
pregunta Jay R 24.10.2014 - 11:57
fuente

1 respuesta

5

Estás mirando la línea incorrecta.

New, TLSv1/SSLv3, Cipher is AES256-SHA

TLSv1 y SSLv3 usan muchos de los mismos cifrados. Esta línea solo le indica que el cifrado seleccionado es de la familia TLSv1 / SSLv3. Más abajo en la salida openssl debería ser algo como esto:

SSL-Session:
    Protocol  : TLSv1

Esto le indica qué protocolo está en uso. En mi ejemplo, es TLSv1.

    
respondido por el Mark 24.10.2014 - 12:38
fuente

Lea otras preguntas en las etiquetas