Isso foi originalmente respondido aqui:
Eu apliquei isso e funciona:
Deixe-me saber se funcionou
Eu estou no meu juízo final com este! Eu não sou uma pessoa de CI / rede para começar, e por isso peço desculpas se estou fazendo a pergunta errada / dando a informação errada.
Estou trabalhando para tentar que um site de cliente passe na verificação de segurança da Trustwave para que ele continue aceitando cartões de crédito. Aqui está a linha do tempo dos eventos até agora:
Eu realmente quero testar isso eu mesmo, no entanto, como eu disse, este não é o meu verdadeiro trabalho - eu sou um desenvolvedor, e embora eu queira aprender muito sobre CI, eu não tenho tempo hoje! O que eu fiz até agora é usado minha instância openssl para tentar a consulta como eu acho que a Trustwave está apresentando para ver se eu posso recriar sua evidência:
openssl s_client -connect thenewtonproject.com:443 -cipher "TLSv1:ALL:eNULL:aNULL"
Quando executo isso, vejo que ele diz TLSv1/SSLv3. Cipher is RC4-SHA
, o que me levaria a acreditar que a verificação da Trustwave está errada, mas como essa é a primeira vez que eu fiz algo assim com o openssl, nem tenho certeza se usei o comando / sintaxe certo. Alguém pode me ajudar a corrigir minha sintaxe / verificar meu resultado contra o mesmo site?
EDITAR
De acordo com a Trustwave, a descrição do problema do BEAST é:
The SSL protocol encrypts data by using CBC mode with chained initialization vectors. This allows an attacker, which is has gotten access to an HTTPS session via man-in-the-middle (MITM) attacks or other means, to obtain plain text HTTP headers via a blockwise chosen-boundary attack (BCBA) in conjunction with Javascript code that uses the HTML5 WebSocket API, the Java URLConnection API, or the Silverlight WebClient API. This vulnerability is more commonly referred to as Browser Exploit Against SSL/TLS or "BEAST".
De acordo com a Trustwave, as etapas para correção são:
Affected users should disable all block-based cipher suites in the server's SSL configuration and only support RC4 ciphers, which are not vulnerable to fully address this vulnerability. This vulnerability was addressed in TLS version 1.1/1.2, however, support for these newer TLS versions is not widely supported at the time of this writing, making it difficult to disable earlier versions. Additionally, affected users can also configure SSL to prefer RC4 ciphers over block-based ciphers to limit, but not eliminate, exposure. Affected users that implement prioritization techniques for mitigation as described above should appeal this vulnerability and include details of the SSL configuration.
Eu recebi as informações sobre a ferramenta IISCrypto do Google Googling genérico da semana passada.
EDIT 2: Por solicitação, aqui está o aspecto das cifras no registro:
[\AES 128/128]
"Enabled"=false
[\AES 256/256]
"Enabled"=false
[\DES 56/56]
"Enabled"=false
[\NULL]
"Enabled"=false
[\RC2 128/128]
"Enabled"=false
[\RC2 40/128]
"Enabled"=false
[\RC2 56/128]
"Enabled"=false
[\RC4 128/128]
"Enabled"=true
[\RC4 40/128]
"Enabled"=false
[\RC4 56/128]
"Enabled"=false
[\RC4 64/128]
"Enabled"=false
[\Triple DES 168/168]
"Enabled"=true