Ich versuche, SSLv3 in ejabberd 2.1.10 unter Ubuntu 12.04 zu deaktivieren. Es gibt keine Möglichkeit, es in der Konfigurationsdatei zu deaktivieren, daher muss ich die Quelle patchen und das Paket neu erstellen: https://github.com/processone/ejabberd/issues/113
Wie kann ich nach dem Patchen und der Installation überprüfen, ob das SSLv3 -Protokoll deaktiviert ist? Da es sich um einen privaten Server handelt, kann ich https://xmpp.net/ nicht verwenden.
Ich weiß, dass wir openssl
mit
openssl s_client -connect chat.local: 5222 -starttls xmpp -ssl3
aber Die Sache ist: Ich kann SSLv3 Cipher Suites nicht deaktivieren: https://github.com/processone/ejabberd/issues/113#issuecomment-29279707:
Bitte beachten Sie, dass Sie zwar SSL Version 3 deaktivieren können, "SSLv3-Verschlüsselungssuiten" jedoch nicht deaktivieren können, da dies nicht der Fall ist. Alle SSLv3-Verschlüsselungssuiten werden auch von allen TLS-Versionen verwendet (TLS 1.1 / 1.2 fügt nur einige hinzu neue).
Der obige Befehl zeigt also weiterhin das Ergebnis an:
Neu, TLSv1 / SSLv3, Verschlüsselung ist AES256-SHAServer öffentlicher Schlüssel ist 2048 bitSecure Neuverhandlung wird unterstütztKomprimierung: NONEExpansion: NONESSL-Sitzung: Protokoll: SSLv3-Verschlüsselung: AES256-SHA Sitzungs-ID: Sitzungs-ID-ctx: Hauptschlüssel: D1D474B68F6C4F59ED5E96963F94FAF078 A0C5531A7841B1E0E34257925309A96EA2F25F59F65CCD151F05EB75BC935C Schlüsselargument: Keine PSK-Identität: Keine PSK-Identitätshinweis: Keine SRP-Benutzername: Keine Startzeit: 1414072098 Zeitüberschreitung: 7200 (Sek.) Rückgabecode überprüfen: 18 (selbstsigniertes Zertifikat)
Zwei Fragen:
- Wie kann ein Online-SSL-Prüfer ( https://www.ssllabs.com/ssltest/, https://xmpp.net) /, ...) kann testen, ob das SSLv3 -Protokoll deaktiviert ist oder nicht?
- Besteht ein Risiko, wenn das SSLv3-Protokoll deaktiviert ist, die SSLv3-Verschlüsselungssuiten jedoch aus bestimmten Gründen aktiviert sind (z. B. wenn OpenSSL unter Ubuntu 12.04 TLSv1.2 deaktiviert hat, müssen wir die SSLv3-Verschlüsselungssuiten aktivieren, damit ein Überwachungstool funktioniert)?
ol>