2016-05-21 8 views
0

während https Anfragen mit php-curl in Ubuntu Server zu entfernen, habe ich festgestellt, dass es eine zusätzliche Cipher Suite hinzugefügt, die als "LEER-RENEGOTIATION-INFO-SCSV" identifiziert wird. Ich weiß, das ist eine gefälschte Cipher Suite, dennoch möchte ich diese Cipher Suite von https-Anfragen entfernen. Gibt es einen curlopt-Parameter oder eine openssl-Erweiterung oder Apache-Konfigurationsdatei, die ich verwenden kann, um dieses Standardverhalten zu stoppen. DankeSCSV Cipher Suite von php curl https Anfrage

+0

Wenn cURL OpenSSL verwendet, benötigen Sie die Option "SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION". Aber ich bin nicht sicher, cURL verwendet OpenSSL, wenn NSS verfügbar ist. Siehe auch [curl: (52) Leere Antwort vom Server] (http://comments.gmane.org/gmane.comp.web.curl.general/12915) und OpenSSLs ['SSL_CTX_set_options' Manpage] (http: // www.openssl.org/docs/manmaster/ssl/SSL_CTX_set_options.html). – jww

+0

Ich bin mir auch nicht sicher, ob curl openssl verwendet, aber ich brauche die Chiffre von https Anfrage zu verschwinden. Wie kann man das auch in NSS deaktivieren? –

Antwort

1

Diese "Chiffre" ist in RFC 5746 section 3.3 dokumentiert. Dies ist eine Methode, die den in CVE-2009-3555 und anderswo beschriebenen Präfix-Angriff entgegenwirkt.

This SCSV is not a true cipher suite (it does not correspond to any 
valid set of algorithms) and cannot be negotiated. Instead, it has 
the same semantics as an empty "renegotiation_info" extension, as 
described in the following sections. Because SSLv3 and TLS 
implementations reliably ignore unknown cipher suites, the SCSV may 
be safely sent to any server. 

So deaktiviere Sie nicht/enable dies die regelmäßige Cipher Suite Option curl mit bietet (CURLOPT_SSL_CIPHER_LIST), sondern müssen Sie die TLS-Bibliothek stellen unsichere Neuverhandlungen zu ermöglichen.

Ich denke nicht, dass PHP Ihnen erlaubt, dies zu tun, und libcurl hat keine Option dafür, also glaube ich, dass Sie den C-Quellcode patchen müssen, um es zu ermöglichen.

Dies wird auch weiter beschrieben in OpenSSL's documentation für SSL_CTX_set_options().

+0

Vielen Dank, und gibt es eine Möglichkeit, irgendeine Version herunterzurüsten, um das Problem zu lösen? –