揮発性のメモ2

知識をメモ書きしておく

delegateでSSL3を使用できなくする

http://delegate.hpcc.jp/delegate/


POODLE対策として、Delegateの隠しオプション -tls1 をつけ TLS1のみを使用するように設定する

delegateの設定

FCL=sslway -tls1 -cert /usr/local/etc/hoge.crt -key /usr/local/etc/hoge.key

このオプションはdelegate9.2.5より追加されているらしい。
-ssl2, -ssl3, -ssl23, -tls1 を指定可能(TLS1.1やTLS1.2には未対応)
-no_ssl2, -no_ssl3, -no_ssl23 というのもある


試験方法

wgetコマンドで、プロトコルSSLTLSのバージョンを指定して試験ができる

wget --no-check-certificate --secure-protocol=SSLv3 https://172.16.101.39/piyo/

オプションで SSLv2, SSLv3, TLSv1, TLSv1_1, TLSv1_2 を指定可能
試験時はオレオレ証明書を使うので --no-check-certificate も忘れずに指定する