SCSV Cipher Suite von php curl https Anfrage

Question

während https Anfragen mit php-curl in Ubuntu Server zu entfernen, habe ich festgestellt, dass es eine zusätzliche Cipher Suite hinzugefügt, die als "LEER-RENEGOTIATION-INFO-SCSV" identifiziert wird. Ich weiß, das ist eine gefälschte Cipher Suite, dennoch möchte ich diese Cipher Suite von https-Anfragen entfernen. Gibt es einen curlopt-Parameter oder eine openssl-Erweiterung oder Apache-Konfigurationsdatei, die ich verwenden kann, um dieses Standardverhalten zu stoppen. Danke

Answer 1

Diese "Chiffre" ist in RFC 5746 section 3.3 dokumentiert. Dies ist eine Methode, die den in CVE-2009-3555 und anderswo beschriebenen Präfix-Angriff entgegenwirkt.

This SCSV is not a true cipher suite (it does not correspond to any 
valid set of algorithms) and cannot be negotiated. Instead, it has 
the same semantics as an empty "renegotiation_info" extension, as 
described in the following sections. Because SSLv3 and TLS 
implementations reliably ignore unknown cipher suites, the SCSV may 
be safely sent to any server. 

So deaktiviere Sie nicht/enable dies die regelmäßige Cipher Suite Option curl mit bietet (CURLOPT_SSL_CIPHER_LIST), sondern müssen Sie die TLS-Bibliothek stellen unsichere Neuverhandlungen zu ermöglichen.

Ich denke nicht, dass PHP Ihnen erlaubt, dies zu tun, und libcurl hat keine Option dafür, also glaube ich, dass Sie den C-Quellcode patchen müssen, um es zu ermöglichen.

Dies wird auch weiter beschrieben in OpenSSL's documentation für SSL_CTX_set_options().