Cuando habilito los métodos ssl3 pero deshabilito ssl3 en OpenSSL

2

Necesito compilar una herramienta de escaneo tls y quiero usar OpenSSL1.1.0g. La herramienta utiliza la biblioteca y la compila en el archivo de compilación. Desafortunadamente, la herramienta no se construye correctamente cuando mi configuración de OpenSSL no habilita explícitamente ssl3-methods . Cuando configuré OpenSSL con: enable-ssl3-method , la herramienta se compila correctamente. Luego traté de deshabilitar ssl3, así que tengo:

no-ssl3 enable-ssl3-method

También compila. No entiendo la diferencia entre los dos. Necesito la herramienta para no negociar TLS con SSLv3 y tampoco aceptarla si es la única versión compatible con el servidor.

¿Alguien puede aclarar si esta configuración está bien? ¿Cuál es la diferencia entre las dos opciones? ¿Evitarán el soporte de cliente para SSLv3?

Desafortunadamente, ni siquiera puedo probar la versión conectándome a un servidor SSLv3. La herramienta analiza TLS 1.0 y TLS 1.1 como SSL3, pero esto no es un problema para mí siempre y cuando no acepte handshek con SSLv3.

    
pregunta user9371654 03.10.2018 - 20:58
fuente

1 respuesta

1

La opción disable-ssl3 (o no-ssl3 ) evitará que la versión del protocolo SSL 3.0 sea negociada en la biblioteca. Esto es hecho de manera predeterminada desde OpenSSL 1.1.0 (pero por supuesto los valores predeterminados pueden ser cambiados).

La opción enable-ssl3-method controla qué parte del código se construirá. Si su aplicación heredada se vincula a la función SSLv3_method , entonces esta opción debe configurarse si desea utilizar su aplicación heredada sin cambios. Creo que incluso con esta opción, no se negociará SSLv3.0 si se deshabilita antes con disable-ssl3 .

También tenga en cuenta que la opción disable-ssl3-method implica disable-ssl3 .

Las aplicaciones deben usar TLS_method en lugar del SSLv3_method , TLSv1_method , TLSv1_1_method , etc. más específico

    
respondido por el Lekensteyn 04.10.2018 - 17:09
fuente

Lea otras preguntas en las etiquetas