Como desativo as cifras de força MEDIUM e WEAK / LOW no Apache + mod_ssl?

6

Uma varredura da conformidade com PCI sugeriu que desativássemos as cifras de força MEDIUM e LOW / WEAK do Apache por segurança. Alguém pode me dizer como desabilitar essas cifras?

Apache v2.2.14 mod_ssl v2.2.14

Isso é o que eles nos disseram:

Synopsis : The remote service supports the use of medium strength SSL ciphers. Description : The remote host supports the use of SSL ciphers that offer medium strength encryption, which we currently regard as those with key lengths at least 56 bits and less than 112 bits. Solution: Reconfigure the affected application if possible to avoid use of medium strength ciphers. Risk Factor: Medium / CVSS Base Score : 5.0 (CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N) [More]

Synopsis : The remote service supports the use of weak SSL ciphers. Description : The remote host supports the use of SSL ciphers that offer either weak encryption or no encryption at all. See also : http://www.openssl.org/docs/apps/ciphers .html Solution: Reconfigure the affected application if possible to avoid use of weak ciphers. Risk Factor: Medium / CVSS Base Score : 5.0 (CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N) [More]

    
por Keith Palmer Jr. 18.03.2010 / 17:50

8 respostas

15

Dependendo das suas necessidades, você pode criar uma linha SSLCipherSuite que lide com o trabalho para você.

link

As minhas estão abaixo e passam por varreduras PCI.

SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT
    
por 18.03.2010 / 17:56
4

Observe que o! MEDIUM também desativará as codificações de 128 bits, o que é mais do que o necessário para sua solicitação original. A seguinte configuração foi aprovada pela verificação de compatibilidade com PCI e é mais amigável para navegadores mais antigos:

SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
SSLProtocol ALL -SSLv2 -SSLv3

A versão 3 do SSL é insegura devido ao Poodle Attack (consulte: link )

    
por 08.12.2010 / 15:31
2

Apenas dando outra solução. De acordo com as sugestões de ssltools.com aqui foi a sugestão deles que funcionou para mim:

SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH
    
por 11.09.2012 / 01:47
2

Se você não tem certeza de quais cifras essa linha SSLCipherSuite acaba permitindo, você pode executá-la através do openssl:

openssl ciphers -v 'HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM'

Isso fornecerá uma lista de combinações de códigos:

DHE-RSA-AES256-SHA      SSLv3 Kx=DH       Au=RSA  Enc=AES(256)  Mac=SHA1
DHE-DSS-AES256-SHA      SSLv3 Kx=DH       Au=DSS  Enc=AES(256)  Mac=SHA1
DHE-RSA-CAMELLIA256-SHA SSLv3 Kx=DH       Au=RSA  Enc=Camellia(256) Mac=SHA1
DHE-DSS-CAMELLIA256-SHA SSLv3 Kx=DH       Au=DSS  Enc=Camellia(256) Mac=SHA1
AES256-SHA              SSLv3 Kx=RSA      Au=RSA  Enc=AES(256)  Mac=SHA1
CAMELLIA256-SHA         SSLv3 Kx=RSA      Au=RSA  Enc=Camellia(256) Mac=SHA1
PSK-AES256-CBC-SHA      SSLv3 Kx=PSK      Au=PSK  Enc=AES(256)  Mac=SHA1
EDH-RSA-DES-CBC3-SHA    SSLv3 Kx=DH       Au=RSA  Enc=3DES(168) Mac=SHA1
EDH-DSS-DES-CBC3-SHA    SSLv3 Kx=DH       Au=DSS  Enc=3DES(168) Mac=SHA1
DES-CBC3-SHA            SSLv3 Kx=RSA      Au=RSA  Enc=3DES(168) Mac=SHA1
PSK-3DES-EDE-CBC-SHA    SSLv3 Kx=PSK      Au=PSK  Enc=3DES(168) Mac=SHA1
...

Modifique o argumento até chegar a uma lista que contenha apenas as cifras que você tem permissão para oferecer.

    
por 27.11.2012 / 15:16
0
A documentação do mod_ssl lista MEDIUM como "todas as cifras com criptografia de 128 bits", enquanto HIGH é descrito como "todas as cifras usando Triple-DES". Eu estou supondo que isso é um erro de documentação, mas se não "médio" é realmente maior do que "alto".

Como lhe foi dito, você precisa de pelo menos chaves de 112 bits; isso não deve importar para você, já que tanto HIGH quanto MEDIUM serão strongs o suficiente e você deve incluir ambos.

    
por 09.07.2013 / 00:17
0
SSLProtocol -ALL +TLSv1 +TLSv1.1 +TLSv1.2
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM

É o que estou usando - que, de acordo com o ssllabs.com, oferece o mais alto nível de segurança.

    
por 16.10.2014 / 11:07
0

melhor usar o gerador de criptografia por mozilla, eu sigo este link

    
por 16.07.2018 / 00:33
-1

Isso é o que acabei tendo que usar:

SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:!MEDIUM:!LOW:!SSLv2:!EXPORT
SSLProtocol -ALL +SSLv3 +TLSv1
    
por 24.03.2010 / 16:51