während https Anfragen mit php-curl in Ubuntu Server zu entfernen, habe ich festgestellt, dass es eine zusätzliche Cipher Suite hinzugefügt, die als "LEER-RENEGOTIATION-INFO-SCSV" identifiziert wird. Ich weiß, das ist eine gefälschte Cipher Suite, dennoch möchte ich diese Cipher Suite von https-Anfragen entfernen. Gibt es einen curlopt-Parameter oder eine openssl-Erweiterung oder Apache-Konfigurationsdatei, die ich verwenden kann, um dieses Standardverhalten zu stoppen. DankeSCSV Cipher Suite von php curl https Anfrage
Antwort
Diese "Chiffre" ist in RFC 5746 section 3.3 dokumentiert. Dies ist eine Methode, die den in CVE-2009-3555 und anderswo beschriebenen Präfix-Angriff entgegenwirkt.
This SCSV is not a true cipher suite (it does not correspond to any
valid set of algorithms) and cannot be negotiated. Instead, it has
the same semantics as an empty "renegotiation_info" extension, as
described in the following sections. Because SSLv3 and TLS
implementations reliably ignore unknown cipher suites, the SCSV may
be safely sent to any server.
So deaktiviere Sie nicht/enable dies die regelmäßige Cipher Suite Option curl mit bietet (CURLOPT_SSL_CIPHER_LIST), sondern müssen Sie die TLS-Bibliothek stellen unsichere Neuverhandlungen zu ermöglichen.
Ich denke nicht, dass PHP Ihnen erlaubt, dies zu tun, und libcurl hat keine Option dafür, also glaube ich, dass Sie den C-Quellcode patchen müssen, um es zu ermöglichen.
Dies wird auch weiter beschrieben in OpenSSL's documentation für SSL_CTX_set_options()
.
Vielen Dank, und gibt es eine Möglichkeit, irgendeine Version herunterzurüsten, um das Problem zu lösen? –
Wenn cURL OpenSSL verwendet, benötigen Sie die Option "SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION". Aber ich bin nicht sicher, cURL verwendet OpenSSL, wenn NSS verfügbar ist. Siehe auch [curl: (52) Leere Antwort vom Server] (http://comments.gmane.org/gmane.comp.web.curl.general/12915) und OpenSSLs ['SSL_CTX_set_options' Manpage] (http: // www.openssl.org/docs/manmaster/ssl/SSL_CTX_set_options.html). – jww
Ich bin mir auch nicht sicher, ob curl openssl verwendet, aber ich brauche die Chiffre von https Anfrage zu verschwinden. Wie kann man das auch in NSS deaktivieren? –