Debian OpenSSL默认配置解析
Debian系统中,OpenSSL的主配置文件默认位于/etc/ssl/openssl.cnf,该文件集中管理OpenSSL的密钥路径、证书生成规则、加密算法偏好等关键设置。
默认启用SECLEVEL 2(中等偏高安全等级),该级别要求:
默认配置通过MinProtocol参数限制最低支持的协议版本为TLSv1.2,禁用SSLv2、SSLv3等存在严重漏洞的旧协议(如Heartbleed、POODLE等),降低协议层面安全风险。
默认使用CipherString = DEFAULT@SECLEVEL=2,即选择符合SECLEVEL 2标准的加密套件集合。常见包含的套件类型有:
default_conf:指定默认配置节,引导OpenSSL加载[system_default_section]中的全局设置;[system_default_section]:包含SSLEngine = on(启用SSL/TLS引擎)、MinProtocol(最低协议版本)、CipherString(加密套件字符串)等核心参数,是默认配置的核心载体。