使用cherrypy(python 2)禁用弱密码

Question

我正在使用带有Python 2的Cherrypy 3.8.0来使用pyOpenSSL来使用SSL/TLS.

我想禁用SSL3以避免POODLE(或其他弱密码).

这是我到目前为止所拥有的:

  server_config={
          'server.socket_port': 443,
          'server.ssl_module':'pyopenssl',
          'server.ssl_certificate':'/path/myserver.crt',
          'server.ssl_private_key':'/path/myserver.key',
      }

这与此问题类似,但对于python 2和pyopenssl.

如何指定或排除特定密码？谢谢!

Answer 1

要禁用SSL3,您应该ssl_context自己设置变量,而不是接受默认值.这是使用Python的内置ssl模块(代替内置的cherrypyssl模块)的示例.

import cherrypy
from OpenSSL import SSL

ctx = SSL.Context(SSL.SSLv23_METHOD)
ctx.set_options(SSL.OP_NO_SSLv2 | SSL.OP_NO_SSLv3)

...

server_config = {
    'server.socket_host': '0.0.0.0',
    'server.socket_port': 443,
    'server.ssl_context': ctx
}

cherrypy.config.update(server_config)

在这种情况下,SSL来自OpenSSL模块.

值得注意的是,从Python 3.2.3开始,该ssl模块默认禁用某些弱密码.

此外,您可以专门设置所需的所有密码

ciphers = {
    'DHE-RSA-AE256-SHA',
    ...
    'RC4-SHA'
}

ctx.set_cipher_list(':'.join(ciphers))

如果您使用的CherryPyWSGIServer是web.wsgiserver模块,则可以设置默认密码

CherryPyWSGIServer.ssl_adapter.context.set_cipher_list(':'.join(ciphers))

最后,您可能需要查看以下内容(询问类似问题):

• 如何阻止SSL协议支持TLS？
• https://review.cloudera.org/r/4739/diff/
• http://roadha.us/2014/10/disable-sslv3-avoid-poodle-attack-web-py/
• http://blog.gosquadron.com/use-tls
• http://www.experts-exchange.com/questions/28073251/Disable-weak-SSL-cipher-on-CherryPy-pyOpenSSL-Windows-2008-Server.html