からSCSV Cipher Suiteを削除し、ubuntuサーバーでphp-curlを使用してhttpsリクエストを行うと、「EMPTY-RENEGOTIATION-INFO-SCSV」と認識される追加のCipher Suiteが追加されています。 これは偽のCipher Suiteだとわかっていますが、このCipher Suiteをhttpsリクエストから削除したいと思います。 curloptパラメータ、またはこのデフォルト動作を停止するために使用できるopenssl拡張機能またはapache設定ファイルがありますか。 ありがとうございますphp curl httpsリクエスト
この「暗号」はRFC 5746 section 3.3に記載されています。これは、CVE-2009-3555などで説明されているプレフィックス攻撃に対抗する方法です。
This SCSV is not a true cipher suite (it does not correspond to any
valid set of algorithms) and cannot be negotiated. Instead, it has
the same semantics as an empty "renegotiation_info" extension, as
described in the following sections. Because SSLv3 and TLS
implementations reliably ignore unknown cipher suites, the SCSV may
be safely sent to any server.
ですから、定期的な暗号スイートオプションのカールが提供する使用してこれを有効/無効にしない(CURLOPT_SSL_CIPHER_LIST)が、代わりに、あなたは危険な再交渉を許可するようにTLSライブラリに依頼する必要があります。
PHPはこれを行うことを許可していないと思います。libcurlにはオプションがありません。そのため、Cソースコードにパッチを当てて修正する必要があると思います。
SSL_CTX_set_options()については、OpenSSL's documentationでさらに説明されています。
ありがとうございます。問題を解決するためにバージョンをダウングレードする方法はありますか? –
cURLがOpenSSLを使用している場合は、 'SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION'オプションが必要です。しかし、NSSが利用可能な場合、cURLはOpenSSLを使用しているとは確信していません。また、[curl:(52)サーバからの空の返信](http://comments.gmane.org/gmane.comp.web.curl.general/12915)とOpenSSLの['SSL_CTX_set_options'マニュアルページ(http:// www.openssl.org/docs/manmaster/ssl/SSL_CTX_set_options.html)。 – jww
curlがopensslを使用しているかどうかもわかりませんが、私はhttps要求から暗号がなくなる必要があります。それをNSSで無効にするにはどうすればいいですか? –