Alguém pode me ajudar a determinar que chapéu pode ser a razão pela qual eu ainda estou recebendo lacunas de VA do scanner para o seguinte? Meu servidor hospeda vários aplicativos da web, mas estou usando as mesmas configurações para todos os hosts virtuais.
20007 - Detecção de protocolo SSL versão 2 e 3
NOTA: SSLEngine e SSLHonorCipherOrder estão sintonizados.
Isto é para os protocolos. Tudo está desabilitado e somente as versões 1.1 e 1.2 do TLS estão habilitadas, no entanto, o scanner ainda detecta o SSL v3
SSLProtocol -Tudo + TLSv1.1 + TLSv1.2
Eu também tentei desta forma:
SSLProtocol all -SSLv2 -SSLv3
Eu tentei testar o seguinte:
openssl s_client -connect localhost: 443 -ssl2 - > aperto de mão falha (o que é OK)
openssl s_client -connect localhost: 443 -ssl3 - > isso funciona, e não shure porque porque isso foi desativado para todos os vHosts (configurações é como o acima)
===== ===== =====
As outras duas vulnerabilidades:
42873 - Suítes de codificação de força média SSL suportadas
Aqui está a lista de cifras SSL de média intensidade suportadas pelo servidor remoto:
EDH-RSA-DES-CBC3-SHA Kx = DH Au = RSA Enc = 3DES-CBC (168) Mac = SHA1
ECDHE-RSA-DES-CBC3-SHA Kx = ECDH Au = RSA Enc = 3DES-CBC (168) Mac = SHA1
DES-CBC3-SHA Kx = RSA Au = RSA Enc = 3DES-CBC (168) Mac = SHA1
65821 - Suítes de codificação SSL RC4 suportadas (Bar Mitzvah)
Lista de conjuntos de criptografia RC4 suportados pelo servidor remoto:
ECDHE-RSA-RC4-SHA Kx = ECDH Au = RSA Enc = RC4 (128) Mac = SHA1
RC4-MD5 Kx = RSA Au = RSA Enc = RC4 (128) Mac = MD5
RC4-SHA Kx = RSA Au = RSA Enc = RC4 (128) Mac = SHA1
Este é o CipherSuite. Eu marquei todas as cifras encontradas no scanner, e todas elas foram desabilitadas na minha configuração, mas elas ainda aparecem durante a verificação:
SSLCipherSuite "EECDH + ECDSA + AESGCM EECDH + aRSA + AESGCM EECDH + ECDSA + SHA384 EECDH + ECDSA + SHA256 EECDH + aRSA + SHA384 EECDH + aRSA + SHA256! EECDH + aRSA + RC4 EECDH EDH + aRSA! RC4! aNULL! eNull! BAIXO! 3DES! MD5! EXP! PSK! SRP! DSS! EDH-RSA-DES-CBC3-SHA ! ECDHE-RSA-DES-CBC3-SHA < strong>! DES-CBC3-SHA ! ECDHE-RSA-RC4-SHA ! RC4-MD5 ! RC4-SHA "
NOTA: O log de alterações da versão do httpd que eu tenho não inclui os CVEs para os intervalos mencionados, conforme a verificação. Também estou ciente de que o httpd precisa ser reiniciado após cada alteração de configuração.
Por favor, informe se algum de vocês tem sugestões, posso estar faltando alguma coisa. Obrigado.