Perfect forward secrecy na instalação padrão do Ubuntu 14.04

Não. Mas isso é porque isso não depende do Ubuntu para suportar ou ativar. Cabe ao respectivo software para suportar this.e

Você precisa ter as seguintes linhas em sua configuração para ...

Apache

SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 \
EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 \
EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"

Nginx

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 \
EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 \
EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS";

Dovecot

ssl_cipher_list = EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH+aRSA+RC4:EECDH:EDH+aRSA:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4
ssl_prefer_server_ciphers = yes

Postfix

#the dh params
smtpd_tls_dh1024_param_file = /etc/postfix/dh_1024.pem
smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem
#enable ECDH
smtpd_tls_eecdh_grade = strong
#enabled SSL protocols, don't allow SSLv2
smtpd_tls_protocols= !SSLv2
smtpd_tls_mandatory_protocols= !SSLv2
#allowed ciphers for smtpd_tls_security_level=encrypt
smtpd_tls_mandatory_ciphers = high
#allowed ciphers for smtpd_tls_security_level=may
#smtpd_tls_ciphers = high
#enforce the server cipher preference
tls_preempt_cipherlist = yes
#disable following ciphers for smtpd_tls_security_level=encrypt
smtpd_tls_mandatory_exclude_ciphers = aNULL, MD5 , DES, ADH, RC4, PSD, SRP, 3DES, eNULL
#disable following ciphers for smtpd_tls_security_level=may
#smtpd_tls_exclude_ciphers = aNULL, MD5 , DES, ADH, RC4, PSD, SRP, 3DES, eNULL
#enable TLS logging to see the ciphers for inbound connections
smtpd_tls_loglevel = 1
#enable TLS logging to see the ciphers for outbound connections
smtp_tls_loglevel = 1

Existem alguns requisitos do sistema e outras configurações. Mais nos 2 links:

• Fonte nº 1
• fonte # 2

Sim, todas as versões suportadas do Ubuntu são fornecidas com o OpenSSL 1.0.1+ e a maioria dos softwares está vinculada ao OpenSSL para segurança TLS.

Lembre-se de que um servidor TLS adequado pode ser complexo para ser configurado corretamente. Algumas recomendações gerais rápidas.

Pedido de ciphersuite no lado do servidor

O ciphersuite padrão do OpenSSL inclui suporte para PFS, mas não prioriza isso no nível do handshake. Além disso, o aplicativo pode ter sua própria configuração de ciphersuite padrão para inicializar o OpenSSL com.

Verifique regularmente se há novas recomendações

Sempre defina suas próprias configurações de ciphersuite / protocolo para recomendações modernas. De vez em quando, as vulnerabilidades são encontradas e podem diminuir a segurança se ainda forem usadas. Por exemplo, RC4 deve ser desativado, mas dois anos atrás era recomendado priorizar isso para o ataque BEAST naquela época. Isso foi corrigido no OpenSSL semanas depois, mas as pessoas continuam usando o RC4 ...: (

Criar parâmetros DH!

Além disso, nunca esqueça de criar parâmetros DH ou o PFS não será usado para ciphersuites que não sejam ECDHE! É um erro comum que eu vejo com as pessoas ao meu redor. O OpenSSL será inicializado sem parâmetros herdados do DH e resultando na falta de PFS para clientes não-ECDHE.

Siga as recomendações atualizadas

Esta página wiki gerenciada pela equipe de segurança da Mozilla mantém uma lista de instruções simples e razões para suas recomendações.

link

MUITO recomendado para seguir isto!

Verifique on-line

Use, por exemplo, o teste Qualys SSL Labs: link e siga as recomendações. É muito factível obter um resultado A +.

Sim, o Ubuntu 14.04 suporta o Forward Security por padrão.

A configuração padrão permite que o cliente decida se deseja ou não ativá-lo. O Chrome, o Firefox e o Safari solicitarão isso.