Jak wyłączyć SSL3 i słabe szyfry za pomocą wbudowanego modułu cherrypy cherryl (python 3)

Question

Mam skonfigurowany Cherrypy 3.8.0 z Pythonem 3 do korzystania z SSL/TLS. Jednak chcę wyłączyć SSL3, aby uniknąć POODLE. Przeszukałem dokumentację, ale nie jestem pewien, jak ją wdrożyć.

Używam CherryPy/Python wbudowanych modułów ssl, nie pyOpenSSL których nie jestem w stanie używać pod Pythona 3.

Answer 1

Aby wyłączyć SSL3, należy ustawić zmienną ssl_context samemu zamiast akceptując wartość domyślną. Oto przykład użycia wbudowanego modułu Pythona ssl (zamiast wbudowanego modułu ssl cherrypy).

import cherrypy 
import ssl 

ctx = ssl.SSLContext(ssl.PROTOCOL_SSLv23) 
ctx.options |= ssl.OP_NO_SSLv2 
ctx.options |= ssl.OP_NO_SSLv3 

cherrypy.config.update(server_config) 

gdzie w tym przypadku SSL jest z modułu OpenSSL.

Warto zauważyć, że począwszy od Pythona 3.2.3, moduł ssl domyślnie wyłącza niektóre słabe szyfry.

Ponadto można specjalnie ustawić wszystkie szyfry, które chcesz z

ciphers = { 
    'DHE-RSA-AE256-SHA', 
    ... 
    'RC4-SHA' 
} 

ctx.set_ciphers(':'.join(ciphers)) 

Jeśli używasz CherryPyWSGIServer z modułu web.wsgiserver, by ustawić domyślne szyfrów z

CherryPyWSGIServer.ssl_adapter.context.set_cipher_list(':'.join(ciphers)) 

Tutaj jest częścią dokumentacji opisującej powyższe: http://docs.cherrypy.org/en/latest/pkg/cherrypy.wsgiserver.html#module-cherrypy.wsgiserver.ssl_builtin

Wreszcie, oto kilka źródeł (prosząc o sim Ilar pytań), że może warto spojrzeć na:

• How to block SSL protocols in favor of TLS?
• https://review.cloudera.org/r/4739/diff/
• http://roadha.us/2014/10/disable-sslv3-avoid-poodle-attack-web-py/
• http://blog.gosquadron.com/use-tls
• http://www.experts-exchange.com/questions/28073251/Disable-weak-SSL-cipher-on-CherryPy-pyOpenSSL-Windows-2008-Server.html