前提
セキュリティレベルを強化するために、Linux(CentOS)のOpensslで使われている弱い暗号化スイートを削除する方法を調べており、IPAのガイド(https://www.ipa.go.jp/security/ipg/documents/tls_cipher_suite_config_20200707.pdf)などを確認してみたのですが、今回はOpensslのTLSをライブラリとして使うアプリケーションは当該サーバー上で動いていないため、純粋にOpensslで利用可能となっている脆弱な暗号化スイートを利用できないようにする、または指定した下記の暗号化スイートのみを明示的に利用可能とするための方法を知りたいです。実際にどのようなコマンドを実行すれば良いのか、または構成ファイルにて制御するのか具体的な方法を特定できておりません。どなたかご教授頂ければ幸いです。
どうぞ、よろしくお願い致します。
CentOS 7
Openssl 1.1.1n
実現したいこと
openssl ciphers -v |wc -lを実行すると合計で60個、openssl ciphers -v 'ALL:COMPLEMENTOFALL' |wc -lを実行すると合計で163個の暗号化スイートがありますが、
以下の23個の暗号化スイートのみを有効化したい。
TLS_DH_RSA_WITH_AES_256_CBC_SHA256:TLS_DHE_RSA_WITH_AES_256_CBC_SHA256:TLS_DH_DSS_WITH_AES_256_GCM_SHA384:TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384:TLS_DH_RSA_WITH_AES_256_GCM_SHA384:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384:TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384:TLS_RSA_WITH_AES_256_GCM_SHA384:TLS_RSA_WITH_AES_256_CBC_SHA256:TLS_DH_DSS_WITH_AES_256_CBC_SHA256:TLS_DHE_DSS_WITH_AES_256_CBC_SHA256:TLS_DHE_DSS_WITH_AES_256_GCM_SHA384:TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384:TLS_DHE_RSA_WITH_AES_256_GCM_SHA384:TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384:TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384:TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384:TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384

回答2件
あなたの回答
tips
プレビュー