Ostatnio miałem za zadanie wyłączenie SSLv2 SSLv3 oraz wszystkie cipher o niskich parametrach.
Jak to zrobić dla GUI wystarczy wydać jedną komendę:
tmsh modify sys httpd ssl-ciphersuite ALL:!sslv2:!sslv3:!MD5:!EXPORT:RSA+AES:RSA+3DES:!RSA+RC4:ECDHE+AES:ECDHE+3DES:!ECDHE+RC4
ważne aby SSLv2 zapisać za małych liter bo jak napiszemy z dużych liter to dostaniemy błąd
tmsh modify sys httpd ssl-ciphersuite ALL:!SSLv2:!SSLv3:!MD5:!EXPORT:RSA+AES:RSA+3DES:!RSA+RC4:ECDHE+AES:ECDHE+3DES:!ECDHE+RC4 01070920:3: Application error for confpp: Syntax OK Error in cipher list 18693:error:1410D0B9:SSL routines:SSL_CTX_set_cipher_list:no cipher match:ssl_lib.c:1223: 'ALL:!SSLv2:!SSLv3:!MD5:!EXPORT:RSA+AES:RSA+3DES:!RSA+RC4:ECDHE+AES:ECDHE+3DES:!ECDHE+RC4' invalid. ************************************************************* Sep 19 13:23:10 DC1.F501.INTERNAL confpp[18665]: syntax check command FAILURE for unix_config_httpd returned: '256'
Zapisujemy konfigurację i kończymy pracę
tmsh save /sys config
powyższe działania potwierdziłem skanerem Nessus.