OpenSSL 1.0.2k 默认不支持 3DES Cipher Suites 了

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› Certbot 使用文档

› Dehydrated

› Stay.live 证书有效期监控

› HTTP Strict Transport Security

› OpenSSL 官网

› Qualys SSL Test

› 证书链补全工具

› 在线 CSR 生成工具

› SSL 云监控

› What's My Chain Cert?

› Certificate Search by Comodo

这是一个创建于 3266 天前的主题，其中的信息可能已经有所发展或是发生改变。

似乎是因为 SWEET32 编译的时候加 "-enable-weak-ssl-ciphers" 可启用

那么 IE8 怎么办……

13 条回复 • 2017-02-17 22:48:15 +08:00

moyaka

2017 年 2 月 15 日 via Android

引导用户使用 Chrome ， Firefox 。最好不要放弃安全性去兼容。

chromee

2017 年 2 月 16 日 via Android

官方说的是 1.1.0 中移除，需要加你说的那个参数才能启用。在 1.0.2 里没有移除吧。
见： https://www.openssl.org/blog/blog/2016/08/24/sweet32/
里面这么说的

wql

2017 年 2 月 16 日 via Android

@moyaka 3DES 是 WinXP 平台上唯一可用的最安全 TLS 算法

ryd994

2017 年 2 月 16 日 via Android

@wql XP 怎么还没死？

ryd994

2017 年 2 月 16 日 via Android

@wql 支持 3DES 的结果，就是眼看着原本安全的其他（大多数）用户，被攻击者压协议压到 3DES ，然后被破解

Rezark

2017 年 2 月 16 日

可以使用 pro 版的证书，强制 128 位加密。

moyaka

2017 年 2 月 16 日 via Android

@wql XP 微软去年就停止支持了，继续使用 XP 风险也很大。上面也有人提到因为 CVE-2016-2183 所以 OpenSSL 才放弃 3DES 并建议大家升级。大多数用户是不懂什么 3DES 、 TLS ，但是一旦出了安全问题这锅就背上了，引导用户到更安全的系统和软件还是背锅这个选择并不难。

glasslion

2017 年 2 月 16 日

@ryd994 已目前的算力， 3DES 根本破不了

wql

2017 年 2 月 16 日 via Android

@ryd994
@moyaka
以目前算力实际上破不了，但是我也理解什么意思了……安全性的确有问题

Hardrain

2017 年 2 月 17 日

@moyaka 的确应该这样，但有些人(或许因为某些原因,如机房还原卡)而不去这样做.

Hardrain

2017 年 2 月 17 日

@glasslion 不是说 3DES 应该能安全使用到 2030 么

wql

2017 年 2 月 17 日

@ryd994 我们学校 DIS 实验室里一大堆 XP 还没到报废年限，不过也快了

ryd994

2017 年 2 月 17 日 via Android

@wql 实验室里的不算，我这实验室里还一堆呢，仪器配的软件只能在 XP 下跑。
可这种电脑不联网啊