security tls – Cómo deshabilitar el cifrado RC4 en ubuntu 12.04

Pregunta:

He estado haciendo Network Scan para nuestra caja y Ncircle informó que el servidor SSL admite cifrados RC4 para SSLv3 . En base a eso, hice una búsqueda y planeo agregar a /etc/apache/conf.d/security lo siguiente:

SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT

Así que si te entiendo bien, ¡la señal ! es una negación como en un lenguaje de programación, entonces mis reglas deben ser las siguientes:

SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:!RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT   

Seguí leyendo el informe y hubo quejas sobre el soporte para CBC y MAC débil

Busqué y encontré 2 blogs hynek.me y raymii.org . Estoy un poco confundido. ¿Qué directivas son recientes para abordar mis problemas actuales?

Necesito un poco de iluminación para arrancar esto. Gracias

EDITAR:

Después de mucho trabajo y lectura. Se me ocurrió esto:

ALL:!ADH:!RC4:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3!EXPORT

He comprobado con

openssl ciphers -V 'ALL:!ADH:!RC4:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3!EXPORT' | grep CBC

openssl ciphers -V 'ALL:!ADH:!RC4:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3!EXPORT' | grep RC4

No estoy seguro de si esto es lo suficientemente bueno. Sospecho que algunos navegadores pueden tener problemas de compatibilidad con eso.

Respuesta:

Todavía hay algunos cifrados RC4 en su lista. Para verificar qué cifrados ofrece el servidor, ingrese su lista en 'openssl ciphers -V', es decir

  $ openssl ciphers -V 'ALL:!ADH:!RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT' | grep RC4
      0xC0,0x11 - ECDHE-RSA-RC4-SHA       SSLv3 Kx=ECDH     Au=RSA  Enc=RC4(128)  Mac=SHA1
      0xC0,0x07 - ECDHE-ECDSA-RC4-SHA     SSLv3 Kx=ECDH     Au=ECDSA Enc=RC4(128)  Mac=SHA1
      0xC0,0x16 - AECDH-RC4-SHA           SSLv3 Kx=ECDH     Au=None Enc=RC4(128)  Mac=SHA1
      0xC0,0x0C - ECDH-RSA-RC4-SHA        SSLv3 Kx=ECDH/RSA Au=ECDH Enc=RC4(128)  Mac=SHA1
      0xC0,0x02 - ECDH-ECDSA-RC4-SHA      SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=RC4(128)  Mac=SHA1
      0x00,0x8A - PSK-RC4-SHA             SSLv3 Kx=PSK      Au=PSK  Enc=RC4(128)  Mac=SHA1

Una buena fuente de información sobre cómo configurar correctamente su servidor es ssllabs.com. Para ver ejemplos de configuraciones de cifrado útiles, consulte https://community.qualys.com/blogs/securitylabs/2013/08/05/configuring-apache-nginx-and-openssl-for-forward-secrecy .

Leave a Comment

Your email address will not be published. Required fields are marked *

web tasarım