Configuração SSL do Apache - SSLLabs como obter um +

Question

Configuração SSL do Apache - SSLLabs como obter um +

#1 resposta do (2 votos)
#2 resposta do (1 votos)
#3 resposta do (0 votos)

5

Eu tenho essa configuração

SSLCipherSuite AES128+EECDH:AES128+EDH
SSLProtocol All -SSLv2 -SSLv3

para o Apache 2.4.6, OpenSLL 1.0.2a

e no SSLtest do SSLLab eu recebo A,

sugere (avisa) que tenho as seguintes cifras habilitadas:

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x9e)   DH 1024 bits (p: 128, g: 1, Ys: 128)   FS   WEAK       128
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (0x67)   DH 1024 bits (p: 128, g: 1, Ys: 128)   FS   WEAK       128
TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x33)   DH 1024 bits (p: 128, g: 1, Ys: 128)   FS   WEAK      128

Como posso desativá-los?

Eu tentei

SSLCipherSuite AES128+EECDH:AES128+EDH:!TLS_DHE_RSA_WITH_AES_128_CBC_SHA:!TLS_DHE_RSA_WITH_AES_128_CBC_SHA256:!TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

mas isso não parece deixar de dar suporte a essas cifras, tenho certeza de que está mal configurado, alguém poderia sugerir como desativá-las?

ssl apache-2.4

por user3833308 24.03.2015 / 01:02

3 respostas

Tags ssl apache-2.4

inicia o nginx apesar de perder o upstream Mapear unidade de rede para um servidor WebDAV via PowerShell

score 2 · Answer 1

O OpenSSL usa seus próprios nomes para cifras, não os nomes TLS_this_with_that definidos, embora eles contenham informações equivalentes. Essas três cifras TLS_DHE_RSA são ativadas pelo termo AES128 + EDH no seu SSLCipherSuite, que também ativa três cifras TLS_DHE_DSS correspondentes, mas o ssllabs não as vê porque seu servidor não tem uma chave e certificado DSS (também conhecido como DSA), presumivelmente porque você Obteve seu certificado de uma CA pública e AFAICT nenhuma autoridade pública pública emite certificados DSS.

Você pode simplesmente remover o termo AES128 + EDH.

Ou você pode tornar as cifras DHE_RSA strongs o suficiente para agradar ssllabs usando um grupo DH maior (2048 bits). Versões mais recentes do Apache tornam isso mais fácil e são provavelmente melhor em geral, mas se você deve ficar em 2.4.6 o mesmo companheiro que faz o teste ssllabs / Qualys tem alguns conselhos em link .

EDITAR para informações de comentários de que EECDH + AES128 (ou seja, ECDHE) não permite a conexão:

Parece que o seu httpd não suporta o ECDHE, o que deve 2.4. Ristic diz em agosto de 2013 que foi adicionado ao link 2.3.3 e o link diz que ele é suportado em 2.4, mas não em 2.2 (aparentemente ele foi retornado posteriormente para 2.2.26). O link descreve as melhorias para DH (E) e ECDH (E ) parâmetros em 2.4.7, o que sugere strongmente que pelo menos os parâmetros básicos estavam lá antes.

Você está possivelmente usando uma construção RedHat? Eu sei que o RedHat removeu (todos) a criptografia da curva elíptica do OpenSSL e do GnuPG até o final de 2013 (que era antes do OpenSSL 1.0.2a) e eu posso imaginar (mas não sei) que eles também podem ter alterado o mod_ssl para omitir os parâmetros ECDH (E), ou seja, a curva.

score 1 · Answer 2

Tenho certeza de que isso não vai levar você até a linha de chegada, mas sem isso eu não acho que você terá um A +:

SSLHonorCipherOrder on

Isso impede que as preferências de ordem de codificação do navegador sobreponham o que você configurou.

score 0 · Answer 3

Não funciona porque você insere cifras inválidas. Por exemplo, isso está incorreto, na linha abaixo está correto:

TLS_DHE_RSA_WITH_AES_128_CBC_SHA

DHE-RSA-AES128-SHA

Se você deseja apenas concluir esse trabalho, copie:

SSLCipherSuite "ECDHE-ECDSA-CHACHA20-POLY1305-SHA256:ECDHE-RSA-CHACHA20-POLY1305-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:DHE-RSA-AES128-CBC-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:DHE-DSS-3DES-EDE-CBC-SHA:AES128-SHA:DES-CBC3-SHA:!CAMELLIA:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4"
SSLHonorCipherOrder on

Mais uma coisa: se você desabilitar essas cifras, você não terá o sigilo forwad com todos os navegadores. Se você quer ter sigilo total, recomendo atualizar o Apache para 2.4.8 e usar isto:

openssl dhparam -out dhparams.pem 2048

Em seguida, adicione isso ao Apache:

SSLOpenSSLConfCmd DHParameters "{path to dhparams.pem}"

Você pode encontrar mais informações nesta Web: link

A propósito, A + é concedido a sites com HSTS e tls_fallback_scsv.