OpenSSL 1.0.2k 默认不支持 3DES Cipher Suites 了

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

Certbot 使用文档

Dehydrated

Stay.live 证书有效期监控

HTTP Strict Transport Security

What's My Chain Cert?

Certificate Search by Comodo

这是一个创建于 3160 天前的主题，其中的信息可能已经有所发展或是发生改变。

似乎是因为 SWEET32 编译的时候加 "-enable-weak-ssl-ciphers" 可启用

那么 IE8 怎么办……

13 条回复 2017-02-17 22:48:15 +08:00

moyaka

2017-02-15 23:30:19 +08:00 via Android

引导用户使用 Chrome ， Firefox 。最好不要放弃安全性去兼容。

chromee

2017-02-16 02:30:25 +08:00 via Android

官方说的是 1.1.0 中移除，需要加你说的那个参数才能启用。在 1.0.2 里没有移除吧。
见： https://www.openssl.org/blog/blog/2016/08/24/sweet32/
里面这么说的

wql

2017-02-16 06:04:14 +08:00 via Android

@moyaka 3DES 是 WinXP 平台上唯一可用的最安全 TLS 算法

ryd994

2017-02-16 07:13:34 +08:00 via Android

@wql XP 怎么还没死？

ryd994

2017-02-16 07:15:57 +08:00 via Android

@wql 支持 3DES 的结果，就是眼看着原本安全的其他（大多数）用户，被攻击者压协议压到 3DES ，然后被破解

Rezark

2017-02-16 08:45:09 +08:00

可以使用 pro 版的证书，强制 128 位加密。

moyaka

2017-02-16 09:28:52 +08:00 via Android

@wql XP 微软去年就停止支持了，继续使用 XP 风险也很大。上面也有人提到因为 CVE-2016-2183 所以 OpenSSL 才放弃 3DES 并建议大家升级。大多数用户是不懂什么 3DES 、 TLS ，但是一旦出了安全问题这锅就背上了，引导用户到更安全的系统和软件还是背锅这个选择并不难。

glasslion

2017-02-16 10:03:41 +08:00

@ryd994 已目前的算力， 3DES 根本破不了

wql

2017-02-16 22:03:36 +08:00 via Android

@ryd994
@moyaka
以目前算力实际上破不了，但是我也理解什么意思了……安全性的确有问题

Hardrain

2017-02-17 09:53:50 +08:00

@moyaka 的确应该这样，但有些人(或许因为某些原因,如机房还原卡)而不去这样做.

Hardrain

2017-02-17 09:54:10 +08:00

@glasslion 不是说 3DES 应该能安全使用到 2030 么

wql

2017-02-17 18:24:47 +08:00

@ryd994 我们学校 DIS 实验室里一大堆 XP 还没到报废年限，不过也快了

ryd994

2017-02-17 22:48:15 +08:00 via Android

@wql 实验室里的不算，我这实验室里还一堆呢，仪器配的软件只能在 XP 下跑。
可这种电脑不联网啊