Блог

У меня есть HTTP-процесс, запущенный на solaris, недавно нас попросили удалить 3DES из набора шифров. Нам нужно применить что-то вроде этого для конфигурации набора шифров, SSLCipherSuite HIGH:!aNULL:!eNULL:!PSK:!RC4:!MD5:!3DES Но здесь есть документация Oracle — https://docs.oracle.com/middleware/12213/webtier/administer-ohs/GUID-C76BCA2A-9C28-4D16-9758-9346FBCF7512.htm#HSADM1016 в котором говорится

Blockquote- : Удаляет шифр из списка (может быть добавлен позже)! : Удаляет шифр из списка навсегда

Итак, мой вопрос в том, применяем ли мы!3DES и изменение не работает, сможем ли мы снова использовать его в той же конфигурации cipher suite, просто удалив!3DES? Причина путаницы в том, что oracle говорит, что применяя!3DES удаляет шифр из списка навсегда. Другими словами, является ли применение !3DES необратимым изменением? ПРИМЕЧАНИЕ — У нас есть доступ только к файлам HTTP и SLL conf, в которых мы можем вносить изменения в набор шифров

Соответствующая документация — это документация по шифрам в OpenSSL. Чтобы процитировать:

Если ! используется, после чего шифры навсегда удаляются из списка. Удаленные шифры никогда не смогут снова появиться в списке, даже если они явно указаны.

Если используется -, то шифры удаляются из списка, но некоторые или все шифры могут быть добавлены снова с помощью более поздних опций.

Таким образом, оба варианта удаляют данный шифр из списка. Но только ! является постоянным.

Чтобы понять, возьмите HIGH !3DES kRSA vs HIGH -3DES !kRSA . В первом случае шифры 3DES не включены. Во втором случае шифры 3DES, использующие обмен ключами RSA, включены, поскольку они были добавлены позже kRSA .

Другими словами: чтобы быть уверенным, что эти шифры не используются, в любом случае лучше использовать ! .