Desabilitando protocolos e cifras fracos no Centos com o Apache

1

Alguém pode me ajudar a determinar que chapéu pode ser a razão pela qual eu ainda estou recebendo lacunas de VA do scanner para o seguinte? Meu servidor hospeda vários aplicativos da web, mas estou usando as mesmas configurações para todos os hosts virtuais.

20007 - Detecção de protocolo SSL versão 2 e 3

NOTA: SSLEngine e SSLHonorCipherOrder estão sintonizados.

Isto é para os protocolos. Tudo está desabilitado e somente as versões 1.1 e 1.2 do TLS estão habilitadas, no entanto, o scanner ainda detecta o SSL v3

SSLProtocol -Tudo + TLSv1.1 + TLSv1.2

Eu também tentei desta forma:

SSLProtocol all -SSLv2 -SSLv3

Eu tentei testar o seguinte: openssl s_client -connect localhost: 443 -ssl2 - > aperto de mão falha (o que é OK) openssl s_client -connect localhost: 443 -ssl3 - > isso funciona, e não shure porque porque isso foi desativado para todos os vHosts (configurações é como o acima)

===== ===== =====

As outras duas vulnerabilidades:

42873 - Suítes de codificação de força média SSL suportadas Aqui está a lista de cifras SSL de média intensidade suportadas pelo servidor remoto: EDH-RSA-DES-CBC3-SHA Kx = DH Au = RSA Enc = 3DES-CBC (168) Mac = SHA1 ECDHE-RSA-DES-CBC3-SHA Kx = ECDH Au = RSA Enc = 3DES-CBC (168) Mac = SHA1 DES-CBC3-SHA Kx = RSA Au = RSA Enc = 3DES-CBC (168) Mac = SHA1

65821 - Suítes de codificação SSL RC4 suportadas (Bar Mitzvah) Lista de conjuntos de criptografia RC4 suportados pelo servidor remoto: ECDHE-RSA-RC4-SHA Kx = ECDH Au = RSA Enc = RC4 (128) Mac = SHA1 RC4-MD5 Kx = RSA Au = RSA Enc = RC4 (128) Mac = MD5 RC4-SHA Kx = RSA Au = RSA Enc = RC4 (128) Mac = SHA1

Este é o CipherSuite. Eu marquei todas as cifras encontradas no scanner, e todas elas foram desabilitadas na minha configuração, mas elas ainda aparecem durante a verificação:

SSLCipherSuite "EECDH + ECDSA + AESGCM EECDH + aRSA + AESGCM EECDH + ECDSA + SHA384 EECDH + ECDSA + SHA256 EECDH + aRSA + SHA384 EECDH + aRSA + SHA256! EECDH + aRSA + RC4 EECDH EDH + aRSA! RC4! aNULL! eNull! BAIXO! 3DES! MD5! EXP! PSK! SRP! DSS! EDH-RSA-DES-CBC3-SHA ! ECDHE-RSA-DES-CBC3-SHA < strong>! DES-CBC3-SHA ! ECDHE-RSA-RC4-SHA ! RC4-MD5 ! RC4-SHA "

NOTA: O log de alterações da versão do httpd que eu tenho não inclui os CVEs para os intervalos mencionados, conforme a verificação. Também estou ciente de que o httpd precisa ser reiniciado após cada alteração de configuração.

Por favor, informe se algum de vocês tem sugestões, posso estar faltando alguma coisa. Obrigado.

    
por Chyornaya Vdova 26.06.2018 / 19:54

1 resposta

1

desculpas pelo problema. Meu companheiro de equipe descobriu que as seguintes linhas também devem ser atualizadas em /etc/httpd/conf.d/ssl.conf:

SSLProtocol -all -TLSv1 + TLSv1.1 + TLSv1.2 -SSLv3

SSLCipherSuite "EECDH + ECDSA + AESGCM EECDH + aRSA + AESGCM EECDH + ECDSA + SHA384 EECDH + ECDSA + SHA256 EECDH + aRSA + SHA384 EECDH + aRSA + SHA256! EECDH + aRSA + RC4 EECDH EDH + aRSA! RC4! aNULL! eNull! LOW! 3DES! MD5! EXP! PSK! SRP! DSS! EDH-RSA-DES-CBC3-SHA! ECDHE-RSA-DES-CBC3-SHA! DES-CBC3-SHA! ECDHE-RSA-RC4-SHA! RC4-MD5! RC4-SHA "

Uma vez atualizada, ela limpa o resultado da verificação de segurança.

    
por 27.06.2018 / 10:08