web-dev-qa-db-fra.com

Version TLS de CIPHER SUITE TLS_DHE_RSA_WITH_AES_256_CBC_SHA

J'ai une question liée à la suite Cipher TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x0039).

Il est d'abord mentionné dans RFC3268 en 2002. La version TLS disponible la plus haute en 2002 était TLS 1.0 ( RFC 2246 ). Ainsi, RFC3268 était une extention qui fournissait de nouvelles suites de chiffrement à TLS 1.0. La suite Cipher mentionnée est également énumérée dans RFC4346 (TLS 1.1) et RFC5246 (TLS 1.2).

Je courais différents outils pour vérifier la suite Cipher. D'abord openssl s_client:

$ openssl s_client -cipher DHE-RSA-AES256-SHA -connect www.uni-luebeck.de:443
...
Protocol  : TLSv1.2
Cipher    : DHE-RSA-AES256-SHA
...

Et avec NMAP:

nmap --script ssl-enum-ciphers -p 443 www.uni-luebeck.de | grep "ciphers\|TLSv\|TLS_DHE_RSA_WITH_AES_256_CBC_SHA"
| ssl-enum-ciphers: 
|   SSLv3: No supported ciphers found
|   TLSv1.0: 
|     ciphers: 
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong
|   TLSv1.1: 
|     ciphers: 
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong
|   TLSv1.2: 
|     ciphers: 
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong

Vérification de la même suite ciphérienne avec openssl ciphers retourne SSLV3, ce qui me semble tort:

$ openssl ciphers -V | grep 0x39
0x00,0x39 - DHE-RSA-AES256-SHA      SSLv3 Kx=DH       Au=RSA  Enc=AES(256)  Mac=SHA1
2
Dennis

Lorsque j'essaye la commande OpenSSL, vous avez mentionné un autre site:

openssl s_client -cipher DHE-RSA-AES256-SHA -connect www.verificationlabs.com:443

Je vois dans les résultats ce qui suit que je suppose signifie qu'il s'applique à la fois à SSLV3 et à TLSV1. *:

New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA

Cela peut donc simplement être un problème avec la façon dont OpenSSL formats sa réponse.

lien pertinent:

https://www.owasp.org/index.php/testing_for_weak_ssl/tls_cipphers,_insufficient_transport_layer_protection_ (OTG-CRYPST-001

0
Trey Blalock