Pregunta:
He estado haciendo Network Scan para nuestra caja y Ncircle informó que el servidor SSL admite cifrados RC4 para SSLv3 . En base a eso, hice una búsqueda y planeo agregar a /etc/apache/conf.d/security
lo siguiente:
SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT
Así que si te entiendo bien, ¡la señal !
es una negación como en un lenguaje de programación, entonces mis reglas deben ser las siguientes:
SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:!RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT
Seguí leyendo el informe y hubo quejas sobre el soporte para CBC y MAC débil
Busqué y encontré 2 blogs hynek.me y raymii.org . Estoy un poco confundido. ¿Qué directivas son recientes para abordar mis problemas actuales?
Necesito un poco de iluminación para arrancar esto. Gracias
EDITAR:
Después de mucho trabajo y lectura. Se me ocurrió esto:
ALL:!ADH:!RC4:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3!EXPORT
He comprobado con
openssl ciphers -V 'ALL:!ADH:!RC4:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3!EXPORT' | grep CBC
openssl ciphers -V 'ALL:!ADH:!RC4:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3!EXPORT' | grep RC4
No estoy seguro de si esto es lo suficientemente bueno. Sospecho que algunos navegadores pueden tener problemas de compatibilidad con eso.
Respuesta:
Todavía hay algunos cifrados RC4 en su lista. Para verificar qué cifrados ofrece el servidor, ingrese su lista en 'openssl ciphers -V', es decir
$ openssl ciphers -V 'ALL:!ADH:!RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT' | grep RC4
0xC0,0x11 - ECDHE-RSA-RC4-SHA SSLv3 Kx=ECDH Au=RSA Enc=RC4(128) Mac=SHA1
0xC0,0x07 - ECDHE-ECDSA-RC4-SHA SSLv3 Kx=ECDH Au=ECDSA Enc=RC4(128) Mac=SHA1
0xC0,0x16 - AECDH-RC4-SHA SSLv3 Kx=ECDH Au=None Enc=RC4(128) Mac=SHA1
0xC0,0x0C - ECDH-RSA-RC4-SHA SSLv3 Kx=ECDH/RSA Au=ECDH Enc=RC4(128) Mac=SHA1
0xC0,0x02 - ECDH-ECDSA-RC4-SHA SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=RC4(128) Mac=SHA1
0x00,0x8A - PSK-RC4-SHA SSLv3 Kx=PSK Au=PSK Enc=RC4(128) Mac=SHA1
Una buena fuente de información sobre cómo configurar correctamente su servidor es ssllabs.com. Para ver ejemplos de configuraciones de cifrado útiles, consulte https://community.qualys.com/blogs/securitylabs/2013/08/05/configuring-apache-nginx-and-openssl-for-forward-secrecy .