Eu apenas verifiquei meu site com esta ferramenta e ele disse que meu site era vulnerável a CVE-2014-0224 . Como faço para corrigir isso?
Preciso ter um novo certificado emitido? Aquele que comprei de enom. É culpa deles? Ou é culpa do meu servidor web (webfaction)?
Também diz:
RC4 cipher is used with TLS 1.1 or newer protocols, even though stronger ciphers are available.
e
The server does not support Forward Secrecy with the reference browsers.
Eu não sei se são todas as falhas do certificado SSL ou se meu servidor precisa dar suporte a servi-lo corretamente?
Você precisa atualizar a versão do OpenSSL no seu servidor. A vulnerabilidade está no próprio código do software.
Você pode ler mais aqui:
link
ou aqui: link
editar: texto importante é:
OpenSSL 0.9.8 SSL/TLS users (client and/or server) should upgrade to 0.9.8za.
OpenSSL 1.0.0 SSL/TLS users (client and/or server) should upgrade to 1.0.0m.
OpenSSL 1.0.1 SSL/TLS users (client and/or server) should upgrade to 1.0.1h.
O CVE-2014-0224 requer uma atualização do openssl.
RC4 cipher is used with TLS 1.1 or newer protocols, even though stronger ciphers are available.
e
The server does not support Forward Secrecy with the reference browsers.
são meros problemas de configuração do servidor.
Algo parecido com isto (assumindo um apache):
SSLCertificateFile server.crt
SSLCertificateKeyFile server.key
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCompression off
# Add six earth month HSTS header for all users...
Header add Strict-Transport-Security "max-age=15768000"
# If you want to protect all subdomains, use the following header
# ALL subdomains HAVE TO support HTTPS if you use this!
# Strict-Transport-Security: max-age=15768000 ; includeSubDomains
SSLCipherSuite 'EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRS
A+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LO
W:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA
128-SHA:AES128-SHA'
é recomendado pelo link / Endurecimento de criptografia aplicada. O uso de HTTP Strict Transport Transport (hsts) deve ser julgado com cuidado, pois pode quebrar as coisas e aumentar drasticamente a carga do servidor. Do ponto de vista da segurança, é recomendado.
Seu certificado provavelmente está bom, mas se ele foi usado com uma versão explorável heartble do openssl, você precisa substituí-lo (pode estar comprometido).
No entanto, a atualização do openssl e a configuração do servidor da Web exigirão privilégios de superusuário. Se você estiver usando hospedagem compartilhada, não há nada que você possa fazer além de pedir à empresa de hospedagem para consertá-lo. E eles, provavelmente, não vão dar a mínima.