Executei uma varredura de segurança em um servidor Linux Redhat e mostrei a seguinte vulnerabilidade:
SSL Enabled Server Supports Medium Strength SSL Encryption Certificates/Ciphers
No arquivo httpd.conf, adiciono as seguintes cifras:
SSLCipherSpec 3A
SSLCipherSpec 2F
SSLCipherSpec 35b
SSLCipherSpec 35
SSLCipherSpec 34
quais são os nomes curtos para:
SSLCipherSpec SSL_RSA_WITH_3DES_EDE_CBC_SHA
SSLCipherSpec TLS_RSA_WITH_AES_256_CBC_SHA
SSLCipherSpec TLS_RSA_WITH_AES_128_CBC_SHA
SSLCipherSpec SSL_RSA_WITH_RC4_128_SHA
SSLCipherSpec SSL_RSA_WITH_RC4_128_MD5
Também havia uma linha com os protocolos de desativação:
SSLProtocolDisable SSLv2 SSLv3
depois disso, reiniciei o httpd e executei outra verificação, mas a vulnerabilidade ainda está lá. O que estou perdendo aqui?
SSLCipherSpec SSL_RSA_WITH_3DES_EDE_CBC_SHA ... SSLCipherSpec SSL_RSA_WITH_RC4_128_SHA SSLCipherSpec SSL_RSA_WITH_RC4_128_MD5
As cifras RC4 são consideradas fracas hoje. Mesmo o 3DES não deve ser mais usado. Eu recomendo seguir as recomendações da Mozilla para configurar corretamente o seu servidor
Tags security ssl apache-httpd