从openssl中删除弱密码

Question

我试图从openssl密码套件列表中删除弱密码。当我运行'openssl密码器-v‘时，我也会看到带有SSLv3和TLSv1的密码。我希望避免弱密码，并将密码列表限制为只有TLSv1.2及更高版本。

我是否可以通过更新openssl.cnf文件来做到这一点？

我尝试了https://github.com/openssl/openssl/issues/7562和https://www.openssl.org/docs/man1.1.1/man5/config.html的方法

openssl_conf = default_conf

[default_conf]
ssl_conf = ssl_sect

[ssl_sect]
system_default = system_default_sect

[system_default_sect]
MinProtocol = TLSv1.2

使用上面的配置，当我运行'openssl密码器-v‘命令时，我希望只看到TLSv1.2和TLSv1.3密码，但是我看到列出的密码没有变化，所有弱密码也都存在。

我们可以通过从openssl代码中删除密码套件列表并构建和安装它们来限制密码套件列表。如果还有其他更简单的方法，请提出建议。

在openssl手册页- https://www.openssl.org/docs/man1.1.1/man5/config.html中，有这样一条语句：“系统默认配置(如果存在的话)将在创建SSL_CTX结构的任何时候应用。”

这意味着，这些openssl.conf更改是否仅应用于证书文件生成，而不是应用于openssl执行？

如有任何帮助或澄清我的理解，我们将不胜感激。

Answer 1

我们只能通过更改openssl.cnf文件获得所需的密码。

在文件顶部添加此默认的conf行。

# System default
openssl_conf = default_conf

附在文件底部的conf下面。

[default_conf]
ssl_conf = ssl_section

[ssl_section]
system_default = system_default_section

[system_default_section]
CipherString = ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384
Ciphersuites = TLS_AES_128_GCM_SHA256:TLS_CHACHA20_POLY1305_SHA256

我使用密码套件来指定TLSv1.3密码，并使用CipherString来限制其他版本。