Desativar cifras SSL fracas no lighttpd

2

A ferramenta de teste link informa que meu servidor está oferecendo / oferecendo suporte:

SSL_RSA_WITH_DES_CBC_SHA (0x9) WEAK 56
SSL_DHE_RSA_WITH_DES_CBC_SHA (0x15) DH 1024 bits (p: 128, g: 128, Ys: 128) FS FRACO 56
RC4 Sim NÃO DESEJÁVEL

Pelo menos essas duas cifras fracas. Eu gostaria de apoiar apenas cifras strongs. Eu tentei especificar

ssl.cipher-list = "HIGH:MEDIUM:!ADH"

Mas isso não ajudou. Como eu digo ao lighthttpd para não usar cifras fracas para SSL?

Se eu também puder abordar "Encaminhar segredo (experimental) NÃO NÃO DESEJÁVEL" ao mesmo tempo, ótimo.

    
por arantius 13.08.2013 / 20:41

2 respostas

4

Finalmente, aqui está o "molho secreto" definitivo:

Passe no Teste SSL Labs no Lighttpd (reduza o ataque CRIME e BEAST, desative SSLv2 e ative o Perfect Forward Secrecy).

Por favor, leia o link para diretivas de configuração concretas.

    
por 16.08.2013 / 14:53
3

Para uma abordagem geral / tutorial sobre como construir a configuração correta do pacote de criptografia, você pode querer dar uma olhada aqui: link

No entanto, o autor não pareceu prestar atenção à implementação de pacotes de codificação DHE; você precisará dessas cifras DHE para permitir o Forward Scripty (FS) para sua conexão SSL.

Para uma configuração de conjunto de cifras pronta para o uso, incluindo DHE, por favor dê uma olhada aqui. Parece que essa configuração também foi testada para funcionar com algumas configurações de navegador e sistema operacional: link

PS: por favor, note que a mensagem "Encaminhar Sigilo (Experimental) NÃO NÃO DESEJÁVEL" da SSLlabs parece aparecer, não importa se o FS está funcionando ou não com a sua conexão, então, por enquanto, não se preocupe muito com essa mensagem.

    
por 14.08.2013 / 18:02

Tags