Que SSLCipherSuite devo usar para remover essas suítes?

1

Meus comandos atuais:

SSLProtocol -ALL -SSLv2 -SSLv3 -TLSv1 +TLSv1.1 +TLSv1.2
SSLHonorCipherOrder On
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS:!RC4

Quando eu executo o SSLScan, estou percebendo que as seguintes Cifras ainda estão disponíveis:

Accepted  TLSv1  256 bits  DHE-RSA-AES256-SHA
Accepted  TLSv1  256 bits  AES256-SHA
Accepted  TLSv1  128 bits  DHE-RSA-AES128-SHA
Accepted  TLSv1  128 bits  AES128-SHA
Accepted  TLSv1  168 bits  EDH-RSA-DES-CBC3-SHA
Accepted  TLSv1  168 bits  DES-CBC3-SHA

Como posso modificar meu comando SSLCipherSuite para remover o suporte a eles?

    
por Ferdia O'Brien 15.03.2016 / 11:31

1 resposta

1

Para trabalhar com esse tipo de situação, recomendo usar a ferramenta de linha de comando openssl ciphers , por exemplo. :

openssl ciphers -v 'RSA+AES' | sort

que listará os conjuntos de criptografia individuais para esse nome de criptografia OpenSSL; a opção de linha de comando -v fornece mais informações (como a versão do protocolo para esse ciphersuite) e torna o formato de saída mais parecido com a saída SSLScan . O uso de sort é opcional; Pessoalmente, acho mais fácil procurar nomes, como os que você forneceu, usando uma lista ordenada.

Eu recomendo usar aspas simples em torno do nome da cifra, para que ele não seja interpretado pelo shell. Observe que o uso de versões de protocolo também funciona, por exemplo. :

openssl ciphers 'TLSv1.2'

Usando essa abordagem, e passando pelas versões de protocolo e , os culpados são DH+AES256 , o que fornece:

openssl ciphers -v 'DH+AES256'
...
DHE-RSA-AES256-SHA      SSLv3 Kx=DH       Au=RSA  Enc=AES(256)  Mac=SHA1
...

Outro culpado é DH+AES :

openssl ciphers -v 'DH+AES' | sort
...
DHE-RSA-AES128-SHA      SSLv3 Kx=DH       Au=RSA  Enc=AES(128)  Mac=SHA1
...

E há DH+3DES , que fornece:

openssl ciphers -v 'DH+3DES' | sort
...
EDH-RSA-DES-CBC3-SHA    SSLv3 Kx=DH       Au=RSA  Enc=3DES(168) Mac=SHA1
...

O nome RSA+AES fornece dois dos seus ciphersuites indesejados:

openssl ciphers -v 'RSA+AES' | sort
...
AES128-SHA              SSLv3 Kx=RSA      Au=RSA  Enc=AES(128)  Mac=SHA1
...
AES256-SHA              SSLv3 Kx=RSA      Au=RSA  Enc=AES(256)  Mac=SHA1
...

Por fim, há RSA+3DES :

openssl ciphers -v 'RSA+3DES' | sort
...
DES-CBC3-SHA            SSLv3 Kx=RSA      Au=RSA  Enc=3DES(168) Mac=SHA1

Então, você poderia remover todos os nomes de culpado mencionados na sua diretiva SSLCipherSuite , contanto que haja ciphersuites suportados suficientes para seus clientes.

Espero que isso ajude!

    
por 16.03.2016 / 07:32