J'ai une question liée à la suite Cipher TLS_DHE_RSA_WITH_AES_256_CBC_SHA
(0x0039).
Il est d'abord mentionné dans RFC3268 en 2002. La version TLS disponible la plus haute en 2002 était TLS 1.0 ( RFC 2246 ). Ainsi, RFC3268 était une extention qui fournissait de nouvelles suites de chiffrement à TLS 1.0. La suite Cipher mentionnée est également énumérée dans RFC4346 (TLS 1.1) et RFC5246 (TLS 1.2).
Je courais différents outils pour vérifier la suite Cipher. D'abord openssl s_client
:
$ openssl s_client -cipher DHE-RSA-AES256-SHA -connect www.uni-luebeck.de:443
...
Protocol : TLSv1.2
Cipher : DHE-RSA-AES256-SHA
...
Et avec NMAP:
nmap --script ssl-enum-ciphers -p 443 www.uni-luebeck.de | grep "ciphers\|TLSv\|TLS_DHE_RSA_WITH_AES_256_CBC_SHA"
| ssl-enum-ciphers:
| SSLv3: No supported ciphers found
| TLSv1.0:
| ciphers:
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong
| TLSv1.1:
| ciphers:
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong
| TLSv1.2:
| ciphers:
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong
Vérification de la même suite ciphérienne avec openssl ciphers
retourne SSLV3, ce qui me semble tort:
$ openssl ciphers -V | grep 0x39
0x00,0x39 - DHE-RSA-AES256-SHA SSLv3 Kx=DH Au=RSA Enc=AES(256) Mac=SHA1
Lorsque j'essaye la commande OpenSSL, vous avez mentionné un autre site:
openssl s_client -cipher DHE-RSA-AES256-SHA -connect www.verificationlabs.com:443
Je vois dans les résultats ce qui suit que je suppose signifie qu'il s'applique à la fois à SSLV3 et à TLSV1. *:
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Cela peut donc simplement être un problème avec la façon dont OpenSSL formats sa réponse.
lien pertinent: