首页   注册   登录
V2EX  ›  SSL

OpenSSL 1.0.2k 默认不支持 3DES Cipher Suites 了

  •  
  •   Hardrain · 2017-02-15 23:22:09 +08:00 · 1732 次点击
    这是一个创建于 545 天前的主题,其中的信息可能已经有所发展或是发生改变。

    似乎是因为 SWEET32 编译的时候加 "-enable-weak-ssl-ciphers" 可启用

    那么 IE8 怎么办……

    13 回复  |  直到 2017-02-17 22:48:15 +08:00
        1
    moyaka   2017-02-15 23:30:19 +08:00 via Android
    引导用户使用 Chrome , Firefox 。最好不要放弃安全性去兼容。
        2
    chromee   2017-02-16 02:30:25 +08:00 via Android
    官方说的是 1.1.0 中移除,需要加你说的那个参数才能启用。在 1.0.2 里没有移除吧。
    见: https://www.openssl.org/blog/blog/2016/08/24/sweet32/
    里面这么说的
        3
    wql   2017-02-16 06:04:14 +08:00 via Android
    @moyaka 3DES 是 WinXP 平台上唯一可用的最安全 TLS 算法
        4
    ryd994   2017-02-16 07:13:34 +08:00 via Android
    @wql XP 怎么还没死?
        5
    ryd994   2017-02-16 07:15:57 +08:00 via Android
    @wql 支持 3DES 的结果,就是眼看着原本安全的其他(大多数)用户,被攻击者压协议压到 3DES ,然后被破解
        6
    Rezark   2017-02-16 08:45:09 +08:00
    可以使用 pro 版的证书,强制 128 位加密。
        7
    moyaka   2017-02-16 09:28:52 +08:00 via Android   ♥ 1
    @wql XP 微软去年就停止支持了,继续使用 XP 风险也很大。上面也有人提到因为 CVE-2016-2183 所以 OpenSSL 才放弃 3DES 并建议大家升级。大多数用户是不懂什么 3DES 、 TLS ,但是一旦出了安全问题这锅就背上了,引导用户到更安全的系统和软件还是背锅这个选择并不难。
        8
    glasslion   2017-02-16 10:03:41 +08:00
    @ryd994 已目前的算力, 3DES 根本破不了
        9
    wql   2017-02-16 22:03:36 +08:00 via Android
    @ryd994
    @moyaka
    以目前算力实际上破不了,但是我也理解什么意思了……安全性的确有问题
        10
    Hardrain   2017-02-17 09:53:50 +08:00   ♥ 1
    @moyaka 的确应该这样,但有些人(或许因为某些原因,如机房还原卡)而不去这样做.
        11
    Hardrain   2017-02-17 09:54:10 +08:00
    @glasslion 不是说 3DES 应该能安全使用到 2030 么
        12
    wql   2017-02-17 18:24:47 +08:00
    @ryd994 我们学校 DIS 实验室里一大堆 XP 还没到报废年限,不过也快了
        13
    ryd994   2017-02-17 22:48:15 +08:00 via Android
    @wql 实验室里的不算,我这实验室里还一堆呢,仪器配的软件只能在 XP 下跑。
    可这种电脑不联网啊
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   鸣谢   ·   实用小工具   ·   700 人在线   最高记录 3762   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.1 · 16ms · UTC 20:02 · PVG 04:02 · LAX 13:02 · JFK 16:02
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1