Q&A
curl のオプション "--ciphers", "--tlsv1.2" などではダメなのでしょうか?
curlで使用できるTLSのバージョンと暗号スイートを制限したいのですが可能でしょうか?
以下のコマンドで確認したところOpenSSLではなく、NSSというライブラリを使っているようです。
curl
1$curl -V 2curl 7.29.0(x86-64-redhat-linux-gnu)libcurl/7.29.0 NSS/3.36 zlib/1.2.7 libidn/1.28 libssh2/1.4.3 3Protocols: dect file ftp ftps gopher http https imap imaps ldap ldaps pop3 pop3s rtsp scp sftp smtp smtps telnet tftp 4Fearures: AsynchDNS GSS-Negotiate IDN IPv6 Largefile NTLM NTLM_WB SSL libz unix-sockets
/etc/pki/nss-legacy/nss-rhel7.config
それっぽいconfigを見つけたのですが、これに何かしら書けば良いのでしょうか?
参考になるサイトや設定方法をご教示いただければと思います。
ご連絡ありがとうございます。
実は、アプリケーションにNSSライブラリを組み込むつもりです。
APLで指定してしまうのも有りなのですが、脆弱性が見つかった時に柔軟性を欠くので
cipher suiteを制限する方向で考えています。
(外部変数にするという手もありますが、その点はご容赦ください。)
回答1件
0
ベストアンサー
CentOS 7 の場合、nss ライブラリは /etc/pki/nssdb/pkcs11.txt ファイルを見ているようです。
Cipher リストそのものではありませんが、config="disallow=... allow=..." を追加することにより、ある程度 Cipher を制限できそうです。
設定値、設定例は NSS Config Options を参照ください。
投稿2020/11/18 15:25
総合スコア12173
あなたの回答
tips
プレビュー
