Uma varredura da conformidade com PCI sugeriu que desativássemos as cifras de força MEDIUM e LOW / WEAK do Apache por segurança. Alguém pode me dizer como desabilitar essas cifras?
Apache v2.2.14 mod_ssl v2.2.14
Isso é o que eles nos disseram:
Synopsis : The remote service supports the use of medium strength SSL ciphers. Description : The remote host supports the use of SSL ciphers that offer medium strength encryption, which we currently regard as those with key lengths at least 56 bits and less than 112 bits. Solution: Reconfigure the affected application if possible to avoid use of medium strength ciphers. Risk Factor: Medium / CVSS Base Score : 5.0 (CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N) [More]
Synopsis : The remote service supports the use of weak SSL ciphers. Description : The remote host supports the use of SSL ciphers that offer either weak encryption or no encryption at all. See also : http://www.openssl.org/docs/apps/ciphers .html Solution: Reconfigure the affected application if possible to avoid use of weak ciphers. Risk Factor: Medium / CVSS Base Score : 5.0 (CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N) [More]
Dependendo das suas necessidades, você pode criar uma linha SSLCipherSuite que lide com o trabalho para você.
As minhas estão abaixo e passam por varreduras PCI.
SSLProtocol -ALL +SSLv3 +TLSv1 SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT
Observe que o! MEDIUM também desativará as codificações de 128 bits, o que é mais do que o necessário para sua solicitação original. A seguinte configuração foi aprovada pela verificação de compatibilidade com PCI e é mais amigável para navegadores mais antigos:
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
SSLProtocol ALL -SSLv2 -SSLv3
A versão 3 do SSL é insegura devido ao Poodle Attack (consulte: link )
Apenas dando outra solução. De acordo com as sugestões de ssltools.com aqui foi a sugestão deles que funcionou para mim:
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH
Se você não tem certeza de quais cifras essa linha SSLCipherSuite acaba permitindo, você pode executá-la através do openssl:
openssl ciphers -v 'HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM'
Isso fornecerá uma lista de combinações de códigos:
DHE-RSA-AES256-SHA SSLv3 Kx=DH Au=RSA Enc=AES(256) Mac=SHA1
DHE-DSS-AES256-SHA SSLv3 Kx=DH Au=DSS Enc=AES(256) Mac=SHA1
DHE-RSA-CAMELLIA256-SHA SSLv3 Kx=DH Au=RSA Enc=Camellia(256) Mac=SHA1
DHE-DSS-CAMELLIA256-SHA SSLv3 Kx=DH Au=DSS Enc=Camellia(256) Mac=SHA1
AES256-SHA SSLv3 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA1
CAMELLIA256-SHA SSLv3 Kx=RSA Au=RSA Enc=Camellia(256) Mac=SHA1
PSK-AES256-CBC-SHA SSLv3 Kx=PSK Au=PSK Enc=AES(256) Mac=SHA1
EDH-RSA-DES-CBC3-SHA SSLv3 Kx=DH Au=RSA Enc=3DES(168) Mac=SHA1
EDH-DSS-DES-CBC3-SHA SSLv3 Kx=DH Au=DSS Enc=3DES(168) Mac=SHA1
DES-CBC3-SHA SSLv3 Kx=RSA Au=RSA Enc=3DES(168) Mac=SHA1
PSK-3DES-EDE-CBC-SHA SSLv3 Kx=PSK Au=PSK Enc=3DES(168) Mac=SHA1
...
Modifique o argumento até chegar a uma lista que contenha apenas as cifras que você tem permissão para oferecer.
Como lhe foi dito, você precisa de pelo menos chaves de 112 bits; isso não deve importar para você, já que tanto HIGH quanto MEDIUM serão strongs o suficiente e você deve incluir ambos.
SSLProtocol -ALL +TLSv1 +TLSv1.1 +TLSv1.2
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
É o que estou usando - que, de acordo com o ssllabs.com, oferece o mais alto nível de segurança.
melhor usar o gerador de criptografia por mozilla, eu sigo este link
Isso é o que acabei tendo que usar:
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:!MEDIUM:!LOW:!SSLv2:!EXPORT
SSLProtocol -ALL +SSLv3 +TLSv1
Tags mod-ssl apache-2.2