OpenSSL atualizando conjuntos de cifras

Navegue suas respostas
2

Para conformidade com PCI, fui obrigado a proteger nosso servidor contra ataques BEAST. Embora eu tenha configurado corretamente as configurações do apache / openssl para passar uma verificação, essas configurações limitaram efetivamente os navegadores do cliente que podem realizar transações com segurança no lado do https de sites.

Estamos usando o Centos 6.5 Final, OpenSSL 1.0.1e-fips 11 de fevereiro de 2013

Não consigo encontrar nenhuma informação sobre como atualizar ou adicionar cifras específicas ou todas as cifras ao OpenSSL.

Pergunta 1: Os pacotes de criptografia são distribuídos no programa OpenSSL OU são complementos de conjuntos de cifras ?, se eles são complementos, como você os atualiza ?

Pergunta 2: Como você atualiza manualmente para a versão mais recente do OpenSSL? Atualmente openssl-1.0.1i ? (CentOS afirma que já é o mais recente - o que não é.)

    
por sr_1436048 05.09.2014 / 11:52

2 respostas

1

Question 1: Are cipher suites distributed within the OpenSSL program OR are ciphers suites add-ons?, if they are add-ons how do you update them?

Os conjuntos de criptografia são distribuídos como parte do OpenSSL, portanto, você terá que atualizar esse pacote para obter acesso a novos.

Question 2: How do you manually update to the latest OpenSSL version? Currently openssl-1.0.1i ? (CentOS states it is already the latest - which it is not.)

Você pode pegar o RPM fonte de um repositório do Fedora e compilá-lo no CentOS 6.5 ou fazer uso de um dos RPMs pré-compilados que estão circulando na Internet pelo CentOS 6.5.

Eu faria o último já que o CentOS 6.5 é uma base de instalação razoavelmente grande, tem que haver outros lidando com o problema que já disponibilizou esse pacote.

Além disso, você pode querer se familiarizar com o backporting de correções que a Red Hat fez com o OpenSSL. Dada a linhagem do CentOS, estas estão incluídas.

trecho de esta resposta

The fix for the heartbleed vulnerability has been backported to 1.0.1e-16 by Red Hat for Enterprise Linux see, and this is therefore the official fix that CentOS ships.

    
por 05.09.2014 / 13:05
1

O OpenSSL é um conjunto de ferramentas e bibliotecas. Os aplicativos que oferecem serviços criptografados por TLS usam essas bibliotecas (a menos que usem gnutls ou bibliotecas Java, que também não são incomuns).

Os ciphersuites são implementados nessas bibliotecas. Se você precisa de ciphersuites mais novos, você precisa atualizar a biblioteca. Se o repositório de seu sistema operacional não tiver nada mais recente, talvez alterar as URLs do repositório para um site alternativo ou uma versão superior do sistema operacional também possa funcionar (eu fiz isso com sucesso com o Debian), mas não sei se isso pode ser feito com o CentOS. Claro, você também pode encontrar pacotes pré-compilados ou compilar para si mesmo.

Se você quiser restringir as cifras para o servidor web apache, o arquivo ssl.conf do Apache é o lugar certo. Se, por outro lado, você quiser alterar cifras para o postfix, a configuração tls_high_cipherlist (em conjunto com smtp(d)_tls_mandatory_ciphers=high ) é onde você define as cifras.

Faz sentido ter esse aplicativo de configuração (= service) específico, pois o que é considerado inseguro para um serviço ainda pode ser aceitável para outro.

    
por 10.02.2016 / 18:06

Tags

É possível alterar dinamicamente o parâmetro --limit-rate de curl? O Chkrootkit encontrou muitos arquivos e diretórios suspeitos, e / sbin / init INFECTED